A kétfaktoros hitelesítést biztosító e-mail szolgáltató StrongWebmail tegnapi közleményében megmerősítette, hogy kifizeti a szolgáltatás sikeres kompromitálásáért felajánlott 10.000$-os díjat az Aviv Raff, Lance James és Mike Bailey alkotta triónak. 

Ezzel együtt a cég egy újabb verseny kiírását is kilátásba helyezte. "Nem nyugszunk addig, amíg be nem biztonyítjuk, hogy a telefon-alapú autentikáció a legjobb elérhető megoldás a felhasználónevek és jelszavak védelmére" - írják.

Ezzel szemben Mike Bailey és Lance James is szkepticizmusuknak adtak hangot az ilyen megmérettetésekkel kapcsolatban: a rendszerek biztonságát globális szinten kell értelmezni, és bár megfelelően szűkre szabott "nevezési feltételekkel" megmutatható, hogy bizonyos komponensek biztonsági szintje megfelelő, ez nem sokat számít azon játékosok esetében, akiket a szabályok helyett mondjuk inkább a felhasználók adatai érdekelnek.

A támadás részleteiről a Firebug James-szel készített interjújában olvashatunk: Eszerint a nyertesek a támadáshoz használt XSS hibát nagyjából egy perc alatt megtalálták, a nagyobb gondot az okozta, hogy rávegyék a célpont munkatársait, hogy nyissák is meg a komprommitálandó fiókot, valamint hogy a hátsó szándék ne legyen nyilvánvaló. A levél tárgy mezőjébe szúrt kód ezután gyakorlatilag minden adatot átszórt az áldozat postafiókjából a támadók szerverére, ahonnan már csak ki kellett mazsolázni a szükséges információkat. James ezen kívül a SWM közleményéhez fűzött kommentárjában megjegyzi, hogy a telefonos autentikációhoz igénybevett TeleSign rendszerében is lett volna kihasználható CSRF hiba, de ennek alkalmazását a szabályok megtiltották.