So hätte man Microsoft, Google und Facebook Geld klauen können
Die größte Herausforderung bei der Absicherung von Prozessen gegen Angriffe ist es immer wieder, erst einmal auf alle erdenklichen Ideen zu kommen, die einem möglichen Angreifer einfallen könnten. Das zeigt eine Schwachstelle, mit der man Internet-Unternehmen respektable Mengen an Geld hätte stehlen können.
Ob vor dem Sicherheitsforscher Arne Swinnen schon jemand auf die Idee kam, ist unbekannt. Wäre ein Unternehmen zuvor betroffen gewesen, hätte es wohl schlicht geschwiegen. Allerdings wäre die Schwachstelle dann wohl auch nicht mehr auszunutzen gewesen. Letzteres weist darauf hin, dass zumindest bei Microsoft, Google und Facebook vor der Kontaktaufnahme Swinnens noch niemand mit entsprechenden Gaunereien konfrontiert gewesen ist.
Es stellte sich bei Tests zumindest heraus, dass die genannten Unternehmen nur unzureichend prüften, welche Telefonnummern ein Nutzer für eine Zwei-Wege-Authentifizierung hinterlegte. Swinnen gelang es dadurch, teilweise gleich eine ganze Reihe von Accounts mit einer Nummer zu verknüpfen, die eigentlich für den Einsatz mit Premium-Diensten gedacht war.
"Sie haben alle einen Service im Angebot, bei dem der Nutzer über einen computergenerierten Anruf mit einem Token versorgt wurde - verifizierten aber nicht ausreichend, ob die hinterlegte Nummer auch bestimmten Kriterien entsprach", erklärte der Sicherheitsforscher. Bei Microsoft war es sogar möglich, immer die gleiche Premium-Nummer für eine große Zahl angelegter Accounts einzusetzen. Aber auch die Facebook-Tochter Instagram und Googles Gmail nahmen ohne Probleme Premium-Rufnummern entgegen.
Mit dem Verfahren gelingt es natürlich nicht, mit einem Mal größere Summen abzuräumen. Doch auch Kleinvieh macht bekanntlich Mist - und mit etwas Zeit und einer Reihe von Accounts hätten schon ordentliche Summen zusammenkommen können. Bei einem Dienst war es so beispielsweise möglich, alle 30 Minuten eine Nummer kontaktieren zu lassen, die ein Pfund (1,20 Euro) brachte. Am Tag machte das dann 48 Pfund und wenn es niemandem auffällt, hätte die Nummer über Wochen laufen können. Wenn man das Ganze dann gleich mit hundert Accounts macht, kommt in einem überschaubaren Zeitraum ein recht ordentlicher Betrag zusammen. Inzwischen sind die fraglichen Services besser abgesichert.
Es stellte sich bei Tests zumindest heraus, dass die genannten Unternehmen nur unzureichend prüften, welche Telefonnummern ein Nutzer für eine Zwei-Wege-Authentifizierung hinterlegte. Swinnen gelang es dadurch, teilweise gleich eine ganze Reihe von Accounts mit einer Nummer zu verknüpfen, die eigentlich für den Einsatz mit Premium-Diensten gedacht war.
"Sie haben alle einen Service im Angebot, bei dem der Nutzer über einen computergenerierten Anruf mit einem Token versorgt wurde - verifizierten aber nicht ausreichend, ob die hinterlegte Nummer auch bestimmten Kriterien entsprach", erklärte der Sicherheitsforscher. Bei Microsoft war es sogar möglich, immer die gleiche Premium-Nummer für eine große Zahl angelegter Accounts einzusetzen. Aber auch die Facebook-Tochter Instagram und Googles Gmail nahmen ohne Probleme Premium-Rufnummern entgegen.
Kommt Zeit, kommt Geld
Je nachdem, wie die jeweilige Nummer konfiguriert war, kostete jeder Token-Versand per SMS oder jeder automatische Anruf den Dienstebetreiber eine bestimmte Gebühr. Meist sind es mehrere Cent bis hin zu mehreren Euro, die vom Anbieter solcher Nummern dann an denjenigen weitergeleitet werden, der sie angemietet hat.Mit dem Verfahren gelingt es natürlich nicht, mit einem Mal größere Summen abzuräumen. Doch auch Kleinvieh macht bekanntlich Mist - und mit etwas Zeit und einer Reihe von Accounts hätten schon ordentliche Summen zusammenkommen können. Bei einem Dienst war es so beispielsweise möglich, alle 30 Minuten eine Nummer kontaktieren zu lassen, die ein Pfund (1,20 Euro) brachte. Am Tag machte das dann 48 Pfund und wenn es niemandem auffällt, hätte die Nummer über Wochen laufen können. Wenn man das Ganze dann gleich mit hundert Accounts macht, kommt in einem überschaubaren Zeitraum ein recht ordentlicher Betrag zusammen. Inzwischen sind die fraglichen Services besser abgesichert.
Thema:
Microsofts Aktienkurs in Euro
Interessante & lustige Microsoft-Videos
- What's Next? - Netflix zeigt Zukunfts-Dokumentation mit Bill Gates
- Microsoft PC Manager: Neues Tool für die Systempflege im Anmarsch
- Bill Gates gesteht Sucht: "Ich kann nicht aufhören, Wordle zu spielen"
- Bill Gates zu "neuem" Trendsport Pickleball: "Spiele es seit 50 Jahren"
- Dokumentation: Ein Leben nach Microsoft
- Microsoft zeigt Baufortschritte beim Ost-Campus in Puget Sound
- Windows 95: Keynote-Video ist erstmals in voller Länge zu sehen
- Windows Startup-Sounds Remix - Nächster Hinweis auf Windows 11
- Satya Nadella und Phil Spencer sprechen über das Thema 'Gaming'
- Microsoft zeigt, wie man sich die Büro-Meetings der Zukunft vorstellt
Beliebte Microsoft-Downloads
Weiterführende Links
- Microsoft Corporation
- Satya Nadella-Themenspecial
- Xbox Series X-Themenspecial
- Xbox One-Themenspecial
- Windows 11-Themenspecial
- Windows 10-Themenspecial
- Office-Themenspecial
- Microsoft Research-Themenspecial
- Microsoft HoloLens-Themenspecial
- Microsoft Surface-Themenspecial
- Microsoft-Hardware-Themenspecial
- Künstliche Intelligenz-Themenspecial
Beliebt im Preisvergleich
- Windows & Sonstige:
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- Microsoft Edge: Login mit einem Google-Konto gestartet
- Hawking-Strahlung nachgewiesen: Physiker messen Effekt im Labor
- Schwerer IT-Ausfall: Bayerische Justiz stundenlang lahmgelegt
- Mecklenburg-Vorpommern streicht jetzt erste Microsoft-Cloud-Dienste
- Insider-Verdacht überschattet Milliarden-Deal für deutschen IT-Konzern
- Notebooksbilliger: Angebote der Woche stark reduziert
- Infineon erwirkt Verkaufsverbot im Halbleiter-Streit um Chips
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!




Alle Kommentare zu dieser News anzeigen