Pesquisador descobre como acessar qualquer conta Microsoft e recebe $50.000

Shape Image One
Pesquisador descobre como acessar qualquer conta Microsoft e recebe $50.000

Pesquisador descobre como acessar qualquer conta Microsoft e recebe $50.000. Relatada por Laxman Muthiyah, a vulnerabilidade visa a força bruta do código de segurança de sete dígitos que é enviado ao endereço de e-mail ou número de celular do usuário para corroborar sua identidade antes de redefinir a senha para recuperar o acesso à conta. A empresa tratou do assunto em novembro de 2020, antes que os detalhes da falha fossem divulgados.
 

O quê Laxman Muthiyah disse sobre o assunto? 

“Somando tudo, um invasor deve enviar todas as possibilidades de códigos de segurança de 6 e 7 dígitos que seriam em torno de 11 milhões de tentativas de solicitação e deve ser enviado simultaneamente para alterar a senha de qualquer conta da Microsoft (incluindo aquelas com 2FA habilitado) “, Disse Muthiyah.
 

Técnica semelhante utilizada no Instagram

Separadamente, Muthiyah também empregou uma técnica semelhante ao fluxo de recuperação de conta do Instagram, enviando 200.000 solicitações simultâneas de 1.000 máquinas diferentes, descobrindo que era possível conseguir o controle da conta. Ele foi recompensado com $ 30.000 como parte do programa de recompensa da empresa.
 

E se eu tiver MFA?

Embora esse ataque funcione apenas nos casos em que a conta não está protegida por autenticação de dois fatores, ele ainda pode ser estendido para derrotar as duas camadas de proteção e modificar a senha de uma conta de destino.
 

“Em um cenário de ataque real, o invasor precisa de 5.000 endereços IP para hackear uma conta”, observou Muthiyah. “Parece grande, mas na verdade é fácil se você usar um provedor de serviços em nuvem como a Amazon ou o Google. Custaria cerca de 150 dólares para realizar o ataque completo de um milhão de códigos.”

 
Fonte: The Zero Hack / Hacker News
 

Já conhece o nosso Podcast?

Conheça o nosso Podcast – Formata meu PC? 
Escolha sua plataforma de streaming favorita para ouvir!






 
 
 

Quer tornar-se um especialista em produtos Microsoft?

Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês.
Conheça o nosso Microsoft Club clicando aqui.