Комментарии 2
Обход двухфакторной аутентификации (2FA). Каждый, кто оплачивал покупки
через QR-коды, сталкивался с этим способом защиты. Чтобы оплата прошла,
нужно ввести код из СМС или пуша. Так вот. Умы из DreamTeam обошли эту
защиты. Для этого взломали контейнер Kubernetes, использовали его для
формирования платежного поручения и перевели деньги на счета в другом
банке. Как говорится, "бесплатно и без смс
Я думал будет что-нибудь про рейс кондишн и прочие обходы лимитов, а тут аж взломали контейнер кубера. Это что за сервисы где контейнеры кубера наружу торчат? А если вы были уже внутри контура и имели доступ к куберу, то причем тут 2FA со стороны клиента вообще?
Риск назывался так: «Обход 2fa». При оплате заказа в интернет-магазине для выполнения нужно было пополнить себе счет как раз через компрометацию фронтового веб-приложения (контейнер в k8s - в описании как раз это и указано).
Далее по риску был произведен реверс-инжиниринг Android-приложения и анализ документации paycontrol для использования API и реализации риска. В статье подсветили общую информацию об интересных моментах при реализации риска.
В какой кибербитве мы стали шестикратными чемпионами?