Poznaj AI! Obejrzyj bezpłatnie szkolenie jutro o godz. 10:00 lub 19:00
Ominął 2FA po prostu podając pusty kod (!). [glassdoor.com]
W zasadzie to jak w temacie, kropka ;-) Oryginalny opis błędu wygląda tak:
This is a failure in null check of the entered code. In simple terms, the 2FA while logging in can be bypassed by sending a blank code. This could be because of incorrect comparison of entered code with true code. A pre-validation (may be null check) before comparing the codes would fix the issue
A po polsku: cóż, czasem wydaje się że obejście 2FA wymaga jakiś skomplikowanych sztuczek. Jak widać – nie do końca :) W tym przypadku badacz poproszony przez aplikację o kod 2FA podał „losowy”, przechwycił żądanie w Burpie, a następnie usunął wartość. Efekt? Użytkownik został zalogowany :-)
Zresztą z różnymi „pustymi” polami względnie często występuje jakiś problem (patrz np. historia tablic rejestracyjnych NULL).
–Michał Sajdak
2FA to pic na wodę. Wprawny hacker ominie bez problemu. Mi zhackowany konto blizzarda i eBay. Na obu było 2FA…
Bo wektorem ataku był koreański telefon, który ostatnia aktualizacje otrzymał miesiąc przed premierą?
Czym był drugi składnik?
Bo jakieś to dziwne, że ominęli. Może zwyczajnie miałeś nieproszonego gościa na własnym kompie – ktoś skorzystał z zalogowanej sesji.
Także jeszcze raz: czym był drugi składnik?
Jeżeli 2FA Ci się nie podoba to nie korzystaj :). Mnie osobiście 2FA nie raz uratowało :). Z zabezpieczeniami jest jak z backupem. Są 3 rodzaje ludzi:
1. Ci co się zabezpieczają
2. Ci co myślą, że się zabezpieczają
3. Ci co mają to gdzieś.
Im wyżej jesteś tym masz mniejsze szanse na przykrości w przyszłości. To jak z zakładaniem kasku. Nie sprawi, że będziesz nieśmiertelny, ale używany z rozsądkiem pomoże. Zastanów się, czy nie byłeś w tej 2 grupie
It’s not a bug, it’s a bugdoor.