ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性

セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレミアムナンバーという電話番号にかけた電話の通話料は、通常より高い。通話料の差分は、電話サービスの提供元に支払われる。 ダイヤルQ2は電話越しに何らかのサービスを提供して、電話料金で利用料を徴収できる、手軽な仕組みだった。その利用例は、投資顧問、アダルト、占い、人生相談、義援金、ダイヤルアップISPなどに利用されていた。ダイヤルQ2自体は2014年に終わったが、海外ではまだ同等の仕組みをもつサービス

[vvakame]

"ダイヤルQ2自体は2014年に終わった" そうだったんか。各社のレスポンスを見ると、Microsoftが一番小粋な返答を返してきていると思うｗ

[totoronoki]

自動メッセージって言えば何でも許されると思ってるだろ。

[sasashin]

IT知識ほぼ不要というアタックのアイディア自体がまず面白い。それと、ユーザのデータに較べりゃ金とか割とどうでもいいっす、というGoogleとMicrosoftの回答も明快でよいです。

[anklelab]

このように、Googleさんの一次返答は当てにならないから、アカウント剥奪とかのときは食い下がってみる必要がある。

[mongrelP]

MSがびっくりするほど有能

[t_nkjm]

google適当すぎワロタ

[zonu_exe]

各社の対応がおもしろい

[noodlemaster]

アナログな脆弱性はいつ見ても面白いね。

[TakamoriTarou]

最近のMSのまともさといったらない。それに対してGoogle。これはこの後散々欧州委員会あたりにいたぶられることになりそうだなーと言う未来を予感させる。

[yamitzky]

考えた人天才かよ

[hush_in]

よく考えつくなあ

[anoncom]

なるほどなぁ。

[natroun]

面白い。こういう話って（読んでる分には）どうしてこんなにわくわくするんだろう。／報奨金ってこんなもんなのか……。

[kz78]

サラミプログラムだ

[qinmu]

三才ムック的な香りがして懐かしい。

[nezuku]

通話での本人確認の発信先を有償サービスにして困らせる穴か… ユーザに直接影響をもたらすものでないというGoogleの考えかたと、自らと協力会社が被害から守られると判断したMicrosoftの考え方、企業文化みたいなのが。

[netsekai]

本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性

[stealthinu]

この攻撃手法自体も面白いが、各社へ連絡した際の対応がすごくおもしろい。Googleが結構ヘボいのが笑える。MSの対応が一番よい感じ。

[guruso]

これは面白いなー。

[dogwood008]

なるほどなぁ

[airj12]

Microsoftの生真面目さとGoogleの合理性が滲み出てて面白い

[hungchang]

アカウント確認のためのコールバックをダイヤルQ2に掛けさせることで利益を得られる脆弱性の報告結果。脆弱性と呼ぶべきかはともかく、面白い試み。「Googleの金銭的損失はユーザーのセキュリティほど重要ではない」

[kabochatori]

googleのバグ報告を自動対応で門前払いしてしまうのは脆弱性では？

[t-tanaka]

日本のダイヤルQ2が0990からはじまっていたように，各国のプレミアム通話に番号の規則性はないのかな？ あるのであればブラックリストによる対応はできそう。

[hasegawayosuke]

Google、脆弱性報告したら毎度おなじ文面で「注：このメールは人間が書いています」っていう応答が来たことがあった。

[uunfo]

Googleにとっては被害が発覚してから対策すれば十分だってことなんだろう。

[hateshared]

googleの返答のアホらしさ。ダイヤルQ2ってもう無くなってたんだ……。 / “本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性”

[labunix]

“本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性”

[amino_acid9]

脆弱性だけでなく、googleとMSの対応の違いも面白い。

[zorio]

“ユーザーにとっては理的だｗ” って何だ。

[tzk2106]

発想としては面白いけど実際的ではないなぁ。各社の対応が一様じゃないところがすごく興味深かった。

[yto]

なるほど。

[uturi]

返信メールが自動メッセージばかりで笑う。「今出たとこなんですよ」って言い訳する蕎麦屋みたい。／お金が取られる脆弱性だが、お金が取られるだけで個人情報が取られないから重要度が低いということか。

[nazoking]

この方法は思い付いたけど、それをサービス業者に報告してバグ報告報償金もらうのは考え付かなかったな / “本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性”

[prozorec]

googleは脆弱性の報告に対して、botが対応しているのか？報償金を払わない決定をしたのもマシンか？

[georgew]

ダイヤルQ2自体は2014年に終わったが、海外ではまだ同等の仕組みをもつサービスが残っていて... > このハックは日本では使えないわけか。びっくりするような簡単な穴。

[watarum]

中学生の頃ダイヤルQ2で親に超怒られたけど！

[mkusunok]

なるほど音声通話によるセキュリティーコード送付にこんな原始的な脆弱性があったとは / “本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性”

[lbtmplz]

MSなんか粋だ…

[ISADOK]

各々の企業の対応の違いが面白い