Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ominął 2FA po prostu podając pusty kod (!). [glassdoor.com]
W zasadzie to jak w temacie, kropka ;-) Oryginalny opis błędu wygląda tak:
This is a failure in null check of the entered code. In simple terms, the 2FA while logging in can be bypassed by sending a blank code. This could be because of incorrect comparison of entered code with true code. A pre-validation (may be null check) before comparing the codes would fix the issue
A po polsku: cóż, czasem wydaje się że obejście 2FA wymaga jakiś skomplikowanych sztuczek. Jak widać – nie do końca :) W tym przypadku badacz poproszony przez aplikację o kod 2FA podał „losowy”, przechwycił żądanie w Burpie, a następnie usunął wartość. Efekt? Użytkownik został zalogowany :-)
Zresztą z różnymi „pustymi” polami względnie często występuje jakiś problem (patrz np. historia tablic rejestracyjnych NULL).
–Michał Sajdak
2FA to pic na wodę. Wprawny hacker ominie bez problemu. Mi zhackowany konto blizzarda i eBay. Na obu było 2FA…
Czym był drugi składnik?
Bo jakieś to dziwne, że ominęli. Może zwyczajnie miałeś nieproszonego gościa na własnym kompie – ktoś skorzystał z zalogowanej sesji.
Także jeszcze raz: czym był drugi składnik?
Jeżeli 2FA Ci się nie podoba to nie korzystaj :). Mnie osobiście 2FA nie raz uratowało :). Z zabezpieczeniami jest jak z backupem. Są 3 rodzaje ludzi:
1. Ci co się zabezpieczają
2. Ci co myślą, że się zabezpieczają
3. Ci co mają to gdzieś.
Im wyżej jesteś tym masz mniejsze szanse na przykrości w przyszłości. To jak z zakładaniem kasku. Nie sprawi, że będziesz nieśmiertelny, ale używany z rozsądkiem pomoże. Zastanów się, czy nie byłeś w tej 2 grupie
It’s not a bug, it’s a bugdoor.