接收電話通常為與這些特定賬戶綁定的電話號碼。
從理論上講,攻擊者還可以攻擊其它公司Swinnen通過實驗發(fā)現,他可以創(chuàng)建Instagram、Google以及Microsoft Office365賬號,然后與高費率(premium)電話號碼綁定也不是常規(guī)號碼。當其中這三個公司向賬戶綁定的高費率電話號碼提供驗證碼時,高費率號碼將登記來電通話并向這些公司開具賬單。Swinnen認為,攻擊者可以創(chuàng)建高費率電話服務和假Instagram、Google或Microsoft賬號,并綁定。Swinnen表示,攻擊者能通過自動化腳本為所有賬號申請雙因素驗證許可,將合法電話呼叫綁定至自己的服務并賺取可觀利潤。
攻擊者可賺取暴利
根據Swinnen計算統計,從理論上講,每年可以從Instagram賺取206.6萬歐元,Google43.2萬歐元,以及Microsoft66.9萬歐元。Swinnen通過漏洞報告獎勵計劃向這三家公司報告了攻擊存在的可能性。Facebook給予他2000美元的獎勵,Microsoft的獎勵金額為500美元,Google在“HallofFame”(名人堂)中提及他。
Arne Swinnen先前還發(fā)現了Facebook的賬戶入侵漏洞,并幫助Instagram修復登錄機制,防止多種新型蠻力攻擊。
