Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
#Microsoft ha assegnato a un #ricercatore di #sicurezza indipendente 50.000 dollari come parte del suo programma di #bug #bounty per aver segnalato un difetto che avrebbe potuto consentire a un malintenzionato di #dirottare gli #account degli utenti a loro insaputa.
Segnalata da Laxman #Muthiyah, la #vulnerabilità mira a forzare il codice di sicurezza a sette cifre inviato all’indirizzo e-mail o al numero di cellulare di un utente per confermare la sua #identità prima di reimpostare la #password per recuperare l’accesso all’account.
In altre parole, lo scenario di acquisizione dell’account è una conseguenza di una #escalation dei #privilegi derivante da un #bypass dell’#autenticazione su un #endpoint che viene utilizzato per verificare i codici inviati come parte del processo di ripristino dell’account.
La società ha affrontato la questione nel novembre 2020, prima che i dettagli del difetto venissero alla luce martedì.
#redhotcyber #cybersecurity #technology #hacking #hacker
https://thehackernews.com/2021/03/a-50000-bug-couldve-allowed-hackers.html
