A Microsoft pagou ao especialista US $ 0 mil pela vulnerabilidade descoberta nos serviços web da empresa

A Microsoft pagou US $ 0 mil ao especialista independente em segurança da informação Laxman Muthiyah (Laxman Muthiyah) pela descoberta de uma vulnerabilidade crítica nos serviços da web da empresa. O “buraco” permitiu invadir contas de usuários sem seu conhecimento. O pesquisador falou sobre isso no portal The Zero Hack.

Michel Euler, AP

Para redefinir a senha de sua conta da Microsoft, a empresa exige que você forneça um e-mail ou número de telefone celular para enviar um código de segurança de sete dígitos. Depois de inseri-lo, o usuário pode definir uma nova senha para a conta.

Muthia descobriu uma maneira de hackear contas por meio de ataques de força bruta – enumerando as opções possíveis para o código de segurança acima. Primeiramente, o especialista estudou o sistema de processamento de senhas, que limitava o número de solicitações simultâneas e bloqueava as desnecessárias. Ele descobriu que, ao enviar 1000 variantes, o serviço verificou apenas 122 delas. O resto do sistema reagiu com a mensagem de erro “Erro 1211”.

Como resultado, o pesquisador conseguiu desenvolver um algoritmo para contornar o limite do número de solicitações. Como se viu, enviar os códigos de segurança ao mesmo tempo permite que todos sejam processados ​​sem bloqueios adicionais. Como resultado, ele conseguiu adivinhar o código necessário para redefinir a senha.

Laxman relatou a vulnerabilidade à Microsoft enviando um vídeo para a empresa. Em seguida, os desenvolvedores fizeram as devidas correções no sistema e repassaram a recompensa de 0 mil para o pesquisador. O especialista agradeceu à equipe do Microsoft Security Response Center por sua paciência e recompensa. Um relatório mais detalhado pode ser encontrado na página The Zero Hack.