Грешка е позволявала заобикаляне на двуфакторната автентикация на Facebook

От Meta са платили на изследователя, открил проблема, 27 200 долара

Грешка в нова система на Meta предназначена потребителите да управляват влизанията си във Facebook и Instagram, е позволявала на хакери да изключват двуфакторната защита на акаунти, стига да знаят телефонния номер на техния собственик. От TechCrunch цитират изследователя по сигурността Gtm Mänôz от Непал, който е открил проблема.

Той е установил, че разработчиците от Meta не са задали ограничение на опитите, в които потребител въведе двуфакторния код, използван за влизане в своите акаунти в новия Meta Accounts Center, който помага на потребителите да свържат всичките си профили в услуги на компанията, като Facebook и Instagram.

Разполагайки с телефонния номер на жертвата, нападателят може да използва центъра за акаунти и да свърже този номер със собствения си акаунт във Facebook и след това чрез т.нар. брут форс атака да налучка двуфакторния SMS код. Последното е ключовата стъпка, защото в системата не е било предвидено ограничени на броя опити, които някой можеше да въведе грешен код.

Успешна подобна атака все пак би довела изпращане на съобщение от Meta до жертвата за това, че техният двуфакторен е деактивиран. Престъпникът все пак може да има време да превземе потребителския профил, добивайки паролата за него чрез фишинг, имайки предвид, че двуфакторната аатентикация вече не е пречка.

Mänôz е открил грешката в Meta Accounts Center още миналата година и я е докладвал на компанията в средата на септември. Компанията я е коригирала няколко дни по-късно и е плати на изследователя 27 200 долара.

От Meta са заявили пред TechCrunch, че по време на откриването на грешката системата за влизане все още е била на етап ограничен публичен тест. Допълва се, че няма доказателства за реализирани злоупотреби.