Mail.ru Résolution d'un bug SMS dans sa plate-forme de livraison de nourriture ZakaZaka

0


Mail.ru l'un des géants de la technologie de Russie a eu un bug résolu dans sa plateforme ZakaZaka . Le bogue a été décrit comme étant une erreur de logique métier dans le code SMS de ZakaZaka pour un changement de numéro de téléphone, qui peut être obtenue par des attaques par force brute. Mail.ru a récompensé le chasseur de bogues qui a révélé ce bogue et l'a évalué comme un bogue de gravité moyenne.

Vulnérabilité des SMS à ZakaZaka

 Mail.ru Résolution d'un bug SMS "width =" 640 "height =" 336 "data-lazy-srcset =" https://techdator.net/wp-content/uploads/2020/12/Mail .ru-Resolved-an-SMS-Bug.jpg 640w, https://techdator.net/wp-content/uploads/2020/12/Mail.ru-Resolved-an-SMS-Bug-300x158.jpg Données 300w " -lazy-tailles = "(largeur-max: 640px) 100vw, 640px" data-lazy-src = "https://techdator.net/wp-content/uploads/2020/12/Mail.ru-Resolved-an- SMS-Bug.jpg "/> </p>
<p> <noscript> <img class= ZakaZaka est la deuxième plus grande plate-forme de livraison de nourriture de Russie après le Delivery Club tous deux appartenant à Mail.ru qui est l'une des plus grandes sociétés Internet en Russie. Mail.ru possède également le plus grand réseau social de Russie – VK .

Un chasseur de bogues nommé Novovolynsk ( Moonwalker ) a révélé un bogue dans le mécanisme SMS de ZakaZaka à Mail.ru le 18 juin dernier, auquel la société a récompensé lui 150 $ le mois suivant. Bien que Mail.ru n’ait pas décrit clairement le bogue jusqu’à présent, une demande de l’un des utilisateurs de HackerOne à Novovolynsk a révélé les détails du bogue .

Il a décrit le problème comme « le code SMS pour le changement de numéro de téléphone dans zakazaka.ru n'était pas suffisamment protégé contre la force brute, » dans la description de sa soumission dans HackerOne. Cela ne devrait plus être un problème maintenant puisque Mail.ru a résolu le problème et a marqué sa gravité comme moyen!

Vladimir Dubrovnikin l'état-major de Mail.ru l'a initialement marqué comme moyen sévère, puis changé en faible, puis à nouveau en moyen avant de se résoudre avec un score de 6,1 / 10 . Elle est classée comme une erreur de logique métier qui se produit lorsque le flux commercial normal a été altéré pour en avoir les conséquences négatives.

Par exemple, un attaquant dans ce cas peut forcer brutalement le compte de l'utilisateur à obtenir le code SMS chaque fois qu'il tente de changer le numéro de téléphone. Ainsi, il peut remplacer le numéro de téléphone par quelque chose qui est sous son contrôle et prendre le contrôle du compte de la cible.

Ces types d'attaques peuvent souvent être limités en définissant des protocoles d'authentification forts, comme en limitant le nombre de fois où l'on peut saisir le code SMS pour vérifier.

Leave A Reply

Your email address will not be published.