Dipende molto anche dalla piattaforma. Durante un penetration test avevo identificato una falla nel sito stesso che permetteva di bypassare la 2FA. Sostanzialmente l'API che si occupava di effettuare l'invio del codice di sicurezza (e successivamente la verifica) rispondeva con un JSON contenente lo status della risposta. Il problema era che questo status veniva elaborato client-side e non server-side. Bastava utilizzare come OTP il valore 000000, intercettare la risposta del server e cambiare lo status da "1" a "0" per bypassare l'intero meccanismo di 2FA.
Un'altra volta invece un'API malscritta permetteva di inviare ad un numero di telefono arbitrario il codice 2FA, vanificando quindi lo scopo stesso della 2FA. Dipende molto dallo scenario, talvolta non serve nemmeno una backdoor o robe così, è il sito stesso che ti permette di farlo
Un'altra volta invece un'API malscritta permetteva di inviare ad un numero di telefono arbitrario il codice 2FA, vanificando quindi lo scopo stesso della 2FA. Dipende molto dallo scenario, talvolta non serve nemmeno una backdoor o robe così, è il sito stesso che ti permette di farlo