Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak nabić wysoki rachunek za telefon Microsoftowi/Instagramowi/Google? Microsoft: This was certainly a vulnerability, and a good one.
Ciekawe badanie zgłoszone w ramach programu bug bounty. Pewnie kojarzycie miejsca, gdzie w ramach weryfikacji użytkownika wykonywane jest do nas zautomatyzowane połączenie telefoniczne?
Arne Swinnen postanowił sprawdzić czy… podanie jednego z numerów premium spowoduje wykonanie połączenia właśnie tam. Okazało się, że…tak:
Telefon z Instagram
Mała automatyzacja w burpie, i telefony się rozdzwoniły… ;-)
Request w burpie
Na początek, załoga z Instagrama była trochę oporna w potwierdzeniu problemu:
Thanks for following up — because these requests are routed through a dedicated service for monitoring and blocking abuse, “intentional behavior” in this case is considered “accepted risk”
Ale finalnie zmienili działanie swojego systemu i przyznali bounty ($2000):
We have looked into this issue and believe that the vulnerability has been patched (rate limits adjusted and some additional monitoring in place).
Trochę gorzej poszło z Google (nie przyznali bounty) i Microsoftem (przyznali $500). Ten ostatni docenił podatność, ale stwierdził że nie naraża to danych klientów…stąd niska wartość nagrody:
This was certainly a vulnerability, and a good one, and thus we’ve chosen to award a five hundred dollar bounty. From a security standpoint we put a premium on protecting our customers specifically, and while this vulnerability was worth awarding and fixing, we did not see a way in which our customer’s data was put at risk.
–ms
