►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
20 Jul 2016 ·
Un american belgian a găsit metoda perfectă de a face bani de pe urma Facebook, Google și Instagram. Practic este un exploit la limita legalității și înclină spre înșelătorie, dar ideea mi se pare extraordinară.
Știți sistemele de dublă autentificare, adică pe un site tu introduci user și parolă, apoi site-ul îți trimite un cod pe telefon sau email și trebuie să-l introduci și pe acela? Se pare că acel cod poate fi trimis și prin apel vocal, nu doar ca mesaj text, când bănuiesc că o voce robotică te sună și-ți recită codul.
Și dacă telefonul tău ar fi unul cu suprataxă? Un număr unde fiecare minut îi costă pe cei ce te apelează câțiva euro, exact ca la liniile erotice?
Un belgian a făcut tocmai asta, ce-i drept în scopuri de cercetare. A cerut în mod repetat, folosind niște scripturi, codul de autentificare. După ce i-a reușit a calculat, luând în considerare limitările acestor apeluri, că ar fi putut face:
A fost doar un calcul. În practică, a raportat aceste probleme companiilor și a primit de la acestea 2.500 de dolari ca recompensă de bug-hunting (Google n-a dat nimic, că sunt zgârciți).
sursa: The Register.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
16 comentarii
20/07/2016 la 8:07 AM
Google are alte programe prin care da bani pentru bug-uri, dar ar fi fost bine sa ii dea si belgianului ceva. In fond le-a gasit o vulnerabilitate, Google a evitat niste pierderi de pe urma muncii lui si o recompensa ar fi incurajat si pe altii sa faca la fel.
Gaelex(Citează)
20/07/2016 la 10:33 AM
Au zis ceva de genul “nu era bug, securitatea utilizatorilor este importantă indiferent unde sunăm, avem niște măsuri care ar fi detectat eventual problema”. “No money for you!”
nwradu(Citează)
22/07/2016 la 1:35 AM
Google are dreptate. Am încercat să fac asta mai demult și nu a mera. Presupun ca cu anumite numere tot ii poți fenta sunt anumite moduri de a filtra după prefix destinațiile, dar exista în diferite țări excepții, în lumea telecom astea se blochează pe bază de alerte de trafic în timp ce se produce exploitul, pe mai multe nivele. E posibil ca o fi găsit nenea alt range, provider de numere /DIDuri d-ăstea care să nu fie deja blocate, dar asta nu înseamnă că a descoperit gaura din macaroana. Pentru ceilalti se pare că a descoperit-o. Eu am presupus prostește că dacă nu a mers la google nu ar merge niciunde.
Ghinion, cum ar zice cineva.
catalinx(Citează)
20/07/2016 la 9:26 AM
Google nu e zgarcit,
Google asteapta desfasuratorul complet al facturilor telefonice :))
Oricum, kudos pentru “descoperirea bug-ului”
nFo(Citează)
20/07/2016 la 9:31 AM
PS. Omul o sa fie inclus in “Google Hall of Fame”
nFo(Citează)
20/07/2016 la 9:41 AM
Asta-i baiat mic ce probabil a stat prin Bucuresti si a avut de la cine invata.
Ca sa exemplific, pana prin 2008 cand a inceput criza imobiliara erau diverse anunturi cu apartament 3 camere Unirii 95 000 euro. Evident ca o gramada sunau innebuniti dar sunau la un numar cu suprataxa ce ii tinea 2-3 minute pret de 5 euro ca pentru un asemenea chilipir oamenii erau dispusi sa plateasca 1.5 euro/minut sau cat o fi fost.
Aici un articol scris pe vremea aia: http://hmirs.info/articole/editorial/148-despre-anunturile-de-vanzare-ce-au-la-contact-numere-cu-suprataxa.html
Deci iata, mereu suntem fruncea :)
Iulian(Citează)
20/07/2016 la 10:01 AM
Nu pricep unde e “bug-ul”. În mod normal primești codul prin mail sau SMS, nu suni tu după el. Dacă suni după el este nevoie de o întreagă infrastructură de gen call-center pt a primi apelurile, care în cazul lui Office, etc există deja ca suport tehnic.
Deci dacă compania care face înregistrarea vrea să pună nr. cu suprataxă, poate să o facă, nu tb. să-i spună un băiat american asta, dar de obicei face pe dos, pune număr toll-free (fără taxă, cu 1-800-xxxxxxx).
alias(Citează)
20/07/2016 la 10:12 AM
Alias, nu cred ca ai inteles bine. Nu suna el la companie, ci face astfel incat sa fie el sunat de catre companie pe un numar cu suprataxa de pe care primeste el bani.
botzi(Citează)
20/07/2016 la 10:17 AM
Era un belgian din America? :)
Emil(Citează)
20/07/2016 la 10:34 AM
Da, mi-a scăpat. Am presupus că-i american când am scris, abia apoi am văzut că-i mâncător de gauffre.
nwradu(Citează)
20/07/2016 la 11:49 AM
ar fi descoperit pana la urma, nu eventual
mateescu(Citează)
20/07/2016 la 2:06 PM
Nu reiese clar din articol care este bug-ul. Lasi sa se inteleaga ca bug-ul l-ar reprezenta faptul ca iti poti inregistra un nr. cu suprataxa drept nr de contact si astfel, Google/Microsoft/Facebook etc te vor suna si vei face bani. Problema este ca asta poti face si in continuare, e practic un cost pe care aceste companii si-l asuma (si o cheltuiala, pe deasupra), pentru a oferi acel 2-step authentication inclusiv prin apel de voce. E ca si SMS-ul pe care ti-l trimit, pentru ei este un cost.
Bug-ul era de fapt modalitatea de bypass a limitei de apeluri de la aceste companii catre numarul tau cu suprataxa. Evident, companiile si-au setat o limita cu care probabil sunt confortabile a suporta cheltuielile respective. Daca la Microsoft era un bug in adevaratul sens al cuvantului, nu vad sa existe vreun bug la Google.
In articolul sursa, ei zic ca “Google’s authentication system proved the most resilient”. Daca citesti cu atentie, explica acolo de ce Google nu a dat niciun ban – pentru simplul fapt ca ei sunt ok sa suporte acele cheltuieli si au deja o limita de apeluri pe ora – deci nu e niciun bug, sistemul merge in parametri setati de Google. Deci de unde sunt zgarciti? Poate ai vrut sa spui ca sunt mana-larga la cheltuieli si prefera sa suporte costurile datorate celor care fac astfel de exploatari, decat sa renunte la sistemul asta. Daca pentru Microsoft chiar era o vulnerabilitate mare, pe care au si rezolvat-o, la Google nu e vreun bug si nici nu au facut vreo modificare, pentru ca aveau deja protectiile necesare in-place.
Oricum, asta e doar o poveste, senzationalism – cu niste cifre doar ipotetice, un calcul pentru un an facut de el in baza a cateva apeluri. Nici in vis nu ar fi putut sa faca acei bani, pentru ca nu ar fi putut sa primeasca apeluri non-stop timp de un an intreg. L-ar fi detectat (si blocat) in scurt timp. Chiar specifica acolo Google ca “The attempt to exfiltrate the money would be stopped after a short time though, as we have the mitigations in place to detect it”, deci na, si-au pus cel mai probabil o limita de $$ pe care sunt dispusi sa ii plateasca per user, apoi se blocheaza toata smecheria.
Ca sa faca bani de pe urma asta, ar trebui sa isi faca efectiv un botnet, daca ruleaza sute de conturi in paralel atunci ar trebui sa aiba si IP-uri diferite pentru ele, ca altfe va fi blocat imediat. La fel si pentru numerele cu suprataxa, ar trebui sa inregistreze sute/mii de numere diferite, ceea ce, din nou, nu stiu cat de posibil e.
Mai multe detalii direct de la sursa, site-ul lui Arne Swinnen – arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/
Daeveren(Citează)
20/07/2016 la 3:46 PM
Pare simplu, la prima vedere. Dar, cel putin pentru numerele cu suprataxa din Ro, apelurile se pot face doar de pe numere din Ro. Din ce am observat apelurile in cazul recuperarii parolei nu sunt de pe numere din Ro. Similar la SMS. In plus, la sms, am observat si cazul in care unele din siteurile mentionate de tine trimit parola prin intermediul unui numar scurt din Ro (fara suprataxa, de tip 18xx/17xx sau chiar cu sender id modificat), dar care nu poate comunica cu un alt numar cu suprataxa (limitari ale operatorilor de telefonie, probabil pentru a limita situatii de acest tip).
bogdan(Citează)
20/07/2016 la 6:34 PM
In America Nu ar fi functionat inselatoria, deoarece la un apel plătește si cel care suna si cel sunat. Nu știu cum funcționează numerele premium sau dacă exista in SUA, dar sistemul de apelare probabil ca e la fel ca si la cel cu numere obișnuite. :)
Diana(Citează)
20/07/2016 la 11:10 PM
http://i.imgur.com/FddeIrY.gif
gigi(Citează)
20/07/2016 la 11:14 PM
http://i.imgur.com/CrIiZhU.gif
gigi(Citează)