En la generalidad de las magnas compañías, poseen un sistema de autenticación inequívoco que les deja agregar el teléfono móvil como segundo elemento de autenticación, en el que se reciben un código remitido por un número tramitado por esas compañías. Es de ese sistema del que se ha valido un investigador, que asevera que se pudiese sacar mucho dinero con él.
Ese investigador de seguridad belga, llamado Arne Swinnen, ha revelado un procedimiento por el cuál ganar dinero con los mensajes SMS enviados con la autenticación en dos pasos. Las compañías que despachan esos mensajes con códigos de identificación asimismo brindan el llamar al usuario en cuestión para identificarlo. Esas llamadas van vinculadas al número de teléfono que se tenga en la cuenta.
Swinnen reveló que esos dígitos de teléfono vinculados a la cuenta pudiesen ser números de suscripción premium, con lo que hacer una llamada a ellos le cuesta dinero al emisor de la llamada. Las compañías con las que probó que marchaba bien ese sistema son Microsoft, con su producto Office 365, Google, e Instagram.
El sistema puede ser utilizado por atacantes de manera automatizada creando un script que pida los códigos de autenticación en dos pasos a los servicios en cuestión, y hacer que estos llamen al teléfono premium, generando un pago con cada llamada.
Las cifras que se logran llegar a hacer con ese sistema cambian según la empresa. Swinnen ha computarizado que al año se le podrían sacar a Instagram 2 millones de euros, a Google 432.000 euros, y 669.000 euros a Microsoft.
Los pormenores del exploit han sido descubiertos en su blog. Notificó a las respectivas empresas el fallo, y esas le otorgaron diversas recompensas.
Facebook tardó 4 meses en aceptar el fallo de seguridad y comenzar a colocarle remedio, entre septiembre y diciembre de 2015. En conclusión, admitieron el fallo de seguridad, situando solución a los términos tarifarios y otras medidas de seguridad. Le dieron a Swinnen 2.000 dólares.
Google tardó un tiempo en admitirlo también, pero al no ser un fallo de seguridad como tal, en el que sólo Google derrochaba dinero, arguyendo que a ellos les interesa más la seguridad de los usuarios que el dinero. Por eso, no le dieron ninguna recompensa monetaria, no obstante sí una mención en el Hall de la fama de la popular empresa.
Microsoft dio una explicación parecida al de Google, y si bien no lo consideraban un inconveniente de seguridad, decidieron darle 500 dólares como recompensa.
