Microsoft: 50.000 dollari per un bug che avrebbe consentito l’accesso a qualsiasi account.



#Microsoft ha assegnato a un #ricercatore di #sicurezza indipendente 50.000 dollari come parte del suo programma di #bug #bounty per aver segnalato un difetto che avrebbe potuto consentire a un malintenzionato di #dirottare gli #account degli utenti a loro insaputa.

Segnalata da Laxman #Muthiyah, la #vulnerabilità mira a forzare il codice di sicurezza a sette cifre inviato all'indirizzo e-mail o al numero di cellulare di un utente per confermare la sua #identità prima di reimpostare la #password per recuperare l'accesso all'account.


In altre parole, lo scenario di acquisizione dell'account è una conseguenza di una #escalation dei #privilegi derivante da un #bypass dell'#autenticazione su un #endpoint che viene utilizzato per verificare i codici inviati come parte del processo di ripristino dell'account.

La società ha affrontato la questione nel novembre 2020, prima che i dettagli del difetto venissero alla luce martedì.


#redhotcyber #cybersecurity #technology #hacking #hacker


https://thehackernews.com/2021/03/a-50000-bug-couldve-allowed-hackers.html