Независимый исследователь из Бельгии Арне Свиннен (Arne Swinnen) придумал интересный способ вытягивания денег из IT-гигантов. Свиннен сумел использовать не по назначению системы двухфакторной аутентификации Facebook (через Instagram), Google и Microsoft. Исследователь подсчитал, что мог бы заработать на обнаруженном баге около 3 млн евро за год, но так как Свиннен является white hat’ом, он удовлетворился скромным вознаграждением по программе bug bounty.
Сегодня многие банки и онлайновые сервисы предоставляют пользователю возможность применять двухфакторную аутентификацию, что, конечно же, хорошо. Также во многих случаях пользователю доступна опция аутентификации посредством голосового звонка: робот компании звонит на указанный номер и вслух диктует код. Так как старое доброе телефонное мошенничество все еще не утратило своей актуальности, Свиннен решил попробовать применить старый трюк к аутентификационным роботам.
Исследователь создал аккаунты в Instagram, Google и Microsoft Office 365 и вместо обычных номеров привязал к ним так называемые «премиальные номера», звонок или отправка сообщений на которые являются платными. Когда робот компании звонил на такой номер, чтобы сообщить пользователю код двухфакторной аутентификации, номер принимал входящий звонок, «выслушивал» сообщение, а затем выставлял компании счет за услуги.
Используя скрипты для автоматизации процесса, Свиннен сумел заставить системы Instagram, Google и Microsoft звонить на свои платные номера так часто, как это было возможно. В теории это могло бы принести неплохой доход. Согласно подсчетам исследователя, за год он мог бы получить от таких автоматических звонков €2 066 000 от Instagram, €432 000 от Google и €669 000 от Microsoft.
Свиннен разработал этот хитрый способ атак еще осенью 2015 года и сразу сообщил о своей находке разработчикам. На данный момент все три компании уже устранили обнаруженные исследователем проблемы. Facebook выплатила Свиннену вознаграждение в размере $2000, Microsoft заплатила $500, а Google просто включил имя исследователя в «Зал славы».
Подробности атак на каждый из сервисов Свиннен детально описал в своем блоге.