>По ссылке находится страница квитанции с JavaScript-кодом, который изменяет страницу квитанции на страницу перевода средств с перехватом данных банковской карты:
Ловить (и без того не многочисленных) клиентов рокета (у которого веб банкинга то нету) по всему интернету и втюхивать им страничку с переводом денег, это конечно ужасный баг за который стоит требовать много денег. Уязвимость — да. Стоит ли платить деньги даже имея забытую страничку о баг баунти — нет. Разводить драму тоже что они в чем то не правы — тоже.
PS. Этичные хантеры о деньгах вообще не заикаются, кстати.
Во во. Remote code execution is the ability an attacker has to access someone else's computing device and make changes, no matter where the device is geographically located
В решении которое разрабатываю я все еще проще — email+пароль дают доступ к зашифрованному бэкапу. Симку получить займет дольше времени, и требуется развиртуализация человека. Проблема не в том какое решение «лучше» а с какого можно поиметь больше денег. Токены для банков стоят десятки долларов, я же делаю бесплатный софт. Им это не выгодно (
От кейлогера (=вируса с любыми полномочиями) защитить не может ничто. Поэтому есть возможность привязать второй труфактор на другом девайсе. Да и логить там нечего — печатается только мастер пароль на этапе «регистрации» все остальное лишь нажатия OK/DENY.
Ладно, вы меня поймали. Я не хочу ссылаться на 2FA статью в вики так как меня от нее уже подташнивает (и я писал статью почему их определение фигня). Это в первую очередь маркетинговое слово, и каждый имеет неотъемлемое право говорить что у них 2FA даже если они код пошлют на тот же email.
Я и не говорил что дело в канале, я говорил кто имеет доступ к кодам.
Duo как и дырявый authy не end 2 end. Они central authority который может вернуть status=ok на запрос своих клиентов. End to end это когда сам банк проверяет валидность кода. Пример того что я разрабатываю — e2e truefactor.io/info
Термин 2FA не включает в себя SMS OTP в классическом понимании. Второй фактор должен быть end 2 end. Зашифрован или сгенерирован локально например.
>Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Разница огромная. Для вас разница терминов большая, для обычных пользователей разницы нет, так же как им не важна разница между хешированием и шифрованием паролей. Безопасность должна быть в первую очередь дружелюбной к обычным людям.
Приведенные атаки не являются пассивным наблюдателем и куда менее реальны. Бэкдор в опен сорс продукт тяжело внести, скрытые камеры есть не везде, а какой нибудь Билайн сейчас видит тысячи кодов от банков и приложений.
Если ключ хранить на телефоне то это станет вторым фактором, end to end.
Ловить (и без того не многочисленных) клиентов рокета (у которого веб банкинга то нету) по всему интернету и втюхивать им страничку с переводом денег, это конечно ужасный баг за который стоит требовать много денег. Уязвимость — да. Стоит ли платить деньги даже имея забытую страничку о баг баунти — нет. Разводить драму тоже что они в чем то не правы — тоже.
PS. Этичные хантеры о деньгах вообще не заикаются, кстати.
Как организатор искал мулов? Использовал ли он скрытие айпи?
Duo как и дырявый authy не end 2 end. Они central authority который может вернуть status=ok на запрос своих клиентов. End to end это когда сам банк проверяет валидность кода. Пример того что я разрабатываю — e2e truefactor.io/info
>Наличие у провайдера возможности прослушать мои SMS ничем не лучше/хуже, чем наличие у меня кейлоггера.
Разница огромная. Для вас разница терминов большая, для обычных пользователей разницы нет, так же как им не важна разница между хешированием и шифрованием паролей. Безопасность должна быть в первую очередь дружелюбной к обычным людям.
Если ключ хранить на телефоне то это станет вторым фактором, end to end.