这是一个聪明的黑客！谁能从谷歌和微软那里赚钱

特价电话号码。

来自比利时的安全研究人员阿恩·斯温宁（Arne Swinnen）发现了一种巧妙的方法，可以利用谷歌、微软和Instagram等大型科技公司基于双因素身份验证（2FA）语音的代币分发系统窃取资金。

斯温宁认为，任何恶意攻击者都可能创建虚假的谷歌、微软或Instagram账户，以及高级电话服务，然后将它们链接在一起。

然后，攻击者可以使用自动脚本为所有假账户请求2FA语音代币，向其服务拨打合法电话，为其赚取可观的利润。

斯温宁在谷歌、微软Office 365和Instagram上创建了账户，然后将它们绑定到一个高级电话号码，而不是一个普通电话号码。

因此，每当这三项服务中的一项呼叫该账户的电话号码向用户发送其账户访问码时，高级号码就会注册一个来电，并向公司计费。

“他们都提供服务，通过计算机语音电话向用户提供代币，但忽视了正确验证提供的电话号码是否是合法的非优质号码，”斯温宁在他的博客中说。

“这使得一个专门的攻击者能够窃取数千欧元/美元/英镑/美元……微软非常容易受到大规模攻击，因为它支持对一个高级号码进行几乎无限次的并发呼叫”。

尽管斯温宁向所有三家公司报告了漏洞，但他计算出他可能偷了#8364；谷歌每年43.2万份，以及#8364份；微软和€每年提供669000份；每年从Instagram获得2066000份。

你可以在斯温宁的博客文章中了解有关黑客的更多技术细节。

尽管没有任何客户数据因他的黑客行为而受到威胁，但Facebook（Instagram的所有者）和微软通过其漏洞赏金计划分别向斯温宁奖励了2000美元和500美元，而谷歌在公司的名人堂中提到了斯温宁的名字。