Mail.ru resolvió un error de SMS en su plataforma de entrega de alimentos ZakaZaka

Mail.ru, uno de los gigantes tecnológicos de Rusia resolvió un error en su plataforma ZakaZaka. El error se describió como un Error de lógica empresarial en el código SMS de ZakaZaka para un cambio de número de teléfono, que se puede obtener mediante ataques de fuerza bruta. Mail.ru recompensó al cazador de errores que publicitó este error y lo clasificó como un error de gravedad media.

Vulnerabilidad de SMS de ZakaZaka

Mail.ru solucionó un error de SMS

ZakaZaka es la segunda plataforma de entrega de alimentos más grande de Rusia, después Club de entrega, ambos propiedad de Mail.ru, que es una de las empresas de Internet más grandes de Rusia. Mail.ru también cuenta con las redes sociales más grandes de Rusia: VK.

Un cazador de insectos llamado Novovolynsk (Caminante lunar) reveló un error en el motor de SMS de ZakaZaka para Mail.ru el 18 de junio de este año, al que la empresa le recompensó con $ 150 próximo mes. Aunque Mail.ru no ha descrito claramente el error hasta ahora, una solicitud de uno de los usuarios de HackerOne a Novovolynsk reveló los detalles del error.

Describió el problema como «El código SMS para cambiar el número de teléfono en zakazaka.ru no estaba suficientemente protegido contra la fuerza bruta,”En la descripción de su presentación en HackerOne. ¡Esto no debería ser un problema ahora, ya que Mail.ru resolvió el problema y marcó su gravedad como un medio!

Vladimir Dubrovin, El equipo de Mail.ru anotó inicialmente como un mediocampista serio, luego bajó y volvió a un promedio antes de llegar a un acuerdo con una puntuación de 6,1 / 10. Está clasificado como Error de lógica empresarial, lo que ocurre cuando el flujo regular de negocios ha sido alterado para tener consecuencias negativas.

Por ejemplo, un atacante, en este caso, puede usar la fuerza bruta en la cuenta del usuario para obtener el código SMS cada vez que intenta cambiar el número de teléfono. Por lo tanto, puede reemplazar el número de teléfono con algo que esté bajo su control y hacerse cargo de la cuenta del objetivo.

Este tipo de ataque generalmente se puede limitar configurando protocolos de autenticación sólidos, como limitar la cantidad de veces que se puede ingresar un código SMS para verificación.