Arne Swinnen, un investigador belga de seguridad online ha descubierto una vulnerabilidad en el servicio de identificación de Facebook, Google y Microsoft. Aprovechándolo, este investigador calcula que podría robarles varios cientos de miles de dólares a estas tres empresas.
Tal y como explica en su blog, el quid de la cuestión está en el sistema de autentificación en dos pasos que suelen implementar. Si el usuario quiere, las empresas nos llaman a nuestro móvil para decirnos un código de verificación, método que el investigador ha podido explotar registrándose con un teléfono de pago con el que cobrarles por cada llamada recibida.
Vamos, es algo así como poner la tecnología de las líneas 800 en contra de estas empresas. Swinner explica que lo que hizo fue crear una cuenta de Instagram, Google y Office 365 utilizando un teléfono que cobraba por recibir llamadas en vez de uno convencional, y luego activar la autenticación en dos pasos solicitando que le enviasen un SMS o le llamasen para dictarle el número de verificación.
Según sus cálculos, teóricamente con este método podría haber obtenido más de dos millones de dólares al año de Instagram, 432.000 dólares de Google y 669.000 dólares al año de Microsoft. Swinner ya le ha informado a las empresas afectadas mediante su programa de bugs, obteniendo una recompensa de 2.000 y 500 euros de Facebook y Migrosoft, y una mención especial en el Hall of Fame de Google.
Pingback: Bitacoras.com