Jak nabić wysoki rachunek za telefon Microsoftowi/Instagramowi/Google? Microsoft: This was certainly a vulnerability, and a good one.

17 lipca 2016, 08:55 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Ciekawe badanie zgłoszone w ramach programu bug bounty. Pewnie kojarzycie miejsca, gdzie w ramach weryfikacji użytkownika wykonywane jest do nas zautomatyzowane połączenie telefoniczne?

Arne Swinnen postanowił sprawdzić czy… podanie jednego z numerów premium spowoduje wykonanie połączenia właśnie tam. Okazało się, że…tak:

grf

Telefon z Instagram

Mała automatyzacja w burpie, i telefony się rozdzwoniły… ;-)

bur

Request w burpie

Na początek, załoga z Instagrama była trochę oporna w potwierdzeniu problemu:

Thanks for following up — because these requests are routed through a dedicated service for monitoring and blocking abuse, “intentional behavior” in this case is considered “accepted risk”

Ale finalnie zmienili działanie swojego systemu i przyznali bounty ($2000):

We have looked into this issue and believe that the vulnerability has been patched (rate limits adjusted and some additional monitoring in place).

Trochę gorzej poszło z Google (nie przyznali bounty) i Microsoftem (przyznali $500). Ten ostatni docenił podatność, ale stwierdził że nie naraża to danych klientów…stąd niska wartość nagrody:

This was certainly a vulnerability, and a good one, and thus we’ve chosen to award a five hundred dollar bounty. From a security standpoint we put a premium on protecting our customers specifically, and while this vulnerability was worth awarding and fixing, we did not see a way in which our customer’s data was put at risk.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz