4P by xguru 2019-07-19 | favorite | 댓글 2개

페북에 제보해 $30K보상받은 사람 후기. 모바일 암호 찾기로 받은 6자리 코드를 알아내기위해, 10분동안 천개의IP에서 대당 200회 숫자를 대입. 총 20만번의 숫자입력으로 암호를 해킹.

대부분의 서비스에서 Rate Limiting 걸려는 있지만, 이걸 여러대의 IP로 우회한것.
실제로 이게 안막혔다면, IP 5000개 ( 아마존 비용 약 $150 ) 정도로 어떤 계정이든 다 해킹 가능했을꺼라고.

iolothebard 2019-07-19  [-]

인증코드 입력 5번쯤 실패하면 인증코드 파기하고 재발급하게 해버리면 그만일 듯...(우리도 고쳐야겠다)

xguru 2019-07-19  [-]

글에도 나와있지만, 암호 찾기 방식은 메일로 받은 링크를 클릭하는 방식이 더 안전