Cum se pot face milioane de dolari din codurile de autentificare în Office, Instagram sau Google

Asta-i baiat mic ce probabil a stat prin Bucuresti si a avut de la cine invata.

Ca sa exemplific, pana prin 2008 cand a inceput criza imobiliara erau diverse anunturi cu apartament 3 camere Unirii 95 000 euro. Evident ca o gramada sunau innebuniti dar sunau la un numar cu suprataxa ce ii tinea 2-3 minute pret de 5 euro ca pentru un asemenea chilipir oamenii erau dispusi sa plateasca 1.5 euro/minut sau cat o fi fost.

Aici un articol scris pe vremea aia: http://hmirs.info/articole/editorial/148-despre-anunturile-de-vanzare-ce-au-la-contact-numere-cu-suprataxa.html

Deci iata, mereu suntem fruncea :)

Nu reiese clar din articol care este bug-ul. Lasi sa se inteleaga ca bug-ul l-ar reprezenta faptul ca iti poti inregistra un nr. cu suprataxa drept nr de contact si astfel, Google/Microsoft/Facebook etc te vor suna si vei face bani. Problema este ca asta poti face si in continuare, e practic un cost pe care aceste companii si-l asuma (si o cheltuiala, pe deasupra), pentru a oferi acel 2-step authentication inclusiv prin apel de voce. E ca si SMS-ul pe care ti-l trimit, pentru ei este un cost.

Bug-ul era de fapt modalitatea de bypass a limitei de apeluri de la aceste companii catre numarul tau cu suprataxa. Evident, companiile si-au setat o limita cu care probabil sunt confortabile a suporta cheltuielile respective. Daca la Microsoft era un bug in adevaratul sens al cuvantului, nu vad sa existe vreun bug la Google.

In articolul sursa, ei zic ca “Google’s authentication system proved the most resilient”. Daca citesti cu atentie, explica acolo de ce Google nu a dat niciun ban – pentru simplul fapt ca ei sunt ok sa suporte acele cheltuieli si au deja o limita de apeluri pe ora – deci nu e niciun bug, sistemul merge in parametri setati de Google. Deci de unde sunt zgarciti? Poate ai vrut sa spui ca sunt mana-larga la cheltuieli si prefera sa suporte costurile datorate celor care fac astfel de exploatari, decat sa renunte la sistemul asta. Daca pentru Microsoft chiar era o vulnerabilitate mare, pe care au si rezolvat-o, la Google nu e vreun bug si nici nu au facut vreo modificare, pentru ca aveau deja protectiile necesare in-place.

Oricum, asta e doar o poveste, senzationalism – cu niste cifre doar ipotetice, un calcul pentru un an facut de el in baza a cateva apeluri. Nici in vis nu ar fi putut sa faca acei bani, pentru ca nu ar fi putut sa primeasca apeluri non-stop timp de un an intreg. L-ar fi detectat (si blocat) in scurt timp. Chiar specifica acolo Google ca “The attempt to exfiltrate the money would be stopped after a short time though, as we have the mitigations in place to detect it”, deci na, si-au pus cel mai probabil o limita de $$ pe care sunt dispusi sa ii plateasca per user, apoi se blocheaza toata smecheria.

Ca sa faca bani de pe urma asta, ar trebui sa isi faca efectiv un botnet, daca ruleaza sute de conturi in paralel atunci ar trebui sa aiba si IP-uri diferite pentru ele, ca altfe va fi blocat imediat. La fel si pentru numerele cu suprataxa, ar trebui sa inregistreze sute/mii de numere diferite, ceea ce, din nou, nu stiu cat de posibil e.

Mai multe detalii direct de la sursa, site-ul lui Arne Swinnen – arneswinnen.net/2016/07/how-i-could-steal-money-from-instagram-google-and-microsoft/

In America Nu ar fi functionat inselatoria, deoarece la un apel plătește si cel care suna si cel sunat. Nu știu cum funcționează numerele premium sau dacă exista in SUA, dar sistemul de apelare probabil ca e la fel ca si la cel cu numere obișnuite. :)