Уязвимость в Netflix позволяла взломать учетные записи пользователей
Компания Netflix устранила уязвимость, связанную с механизмом смены пароля, позволявшую получить полный контроль над учетными записями пользователей сервиса.
Проблему обнаружил австрийский исследователь в сфере безопасности под псевдонимом Slashcrypto. Сервис Netflix предлагает подписчикам несколько способов изменить пароль, в том числе путем отправки верификационного кода на голосовую почту. По словам Slashcrypto, злоумышленник, которому известен номер телефона пользователя, может подменить номер и изменить пароль учетной записи без его ведома. Как отмечается, атака работает только в том случае, если жертва пользуется услугами сотового оператора, не обеспечившего надлежащую защиту учетных записей голосовой почты от несанкционированного доступа.
По словам эксперта, получить доступ к учетной записи Netflix достаточно просто. Для этого нужно открыть форму смены пароля (с идентификатором учетной записи) и ввести номер телефона жертвы для автоматического обратного вызова Netflix. Затем требуется перезвонить на используемый для авторизации номер. В связи с тем, что номер занят, верификационный код направляется на голосовую почту. На последнем этапе атакующему необходимо подменить Caller ID жертвы для получения доступа к голосовой почте и коду.
Ранее австралийский исследователь Шабхэм Шах (Shubham Shah) продемонстрировал похожий метод, позволяющий обойти двухфакторную аутентификацию на ряде сайтов, предлагающих отправку токенов 2FA на голосовую почту (Google, Facebook, Yahoo, LinkedIn и пр.).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш