Znaleziono błąd w nowym, scentralizowanym systemie zarządzania logowaniem na Facebooku i Instagramie. Hakerzy mogli wyłączyć uwierzytelnianie dwuskładnikowe, znając numer telefonu ofiary.
Centrum zarządzania hasłami do kont w serwisach firmy Meta (Facebook, Instagram itp.) miało dosyć poważną lukę w zabezpieczeniach, która pozwalała obejść logowanie dwuskładnikowe. Odkrył ją jeszcze w 2022 roku badacz z Nepalu, zgarniając za to ponad 27 tys. dolarów nagrody. Podatność została już załatana i podobno nikt z niej nie skorzystał.
Zajmujący się bezpieczeństwem Gtm Mänôz odkrył, że firma Meta nie ustawiła limitu prób wprowadzanie kodu SMS w nowym Centrum kont przy włączonym dwuetapowym uwierzytelnianiu (2FA). Znając numer telefonu ofiary, haker za pomocą metody brute force mógł przypisać ten numer do własnego konta na Facebooku. Wystarczyło w tym celu wprowadzać kolejne kombinacje cyfr jako kod SMS, aż do trafienia na właściwy.
Gdy powyższe się udało, system wyłączał uwierzytelnianie 2FA dla konta, do którego wcześniej przypisany był dany numer telefonu. Jego użytkownik otrzymywał z kolei wiadomość o tym fakcie.
Wyłączając podwójne logowanie na Facebooku swojej ofiary, haker mógł następnie próbować przejąć jego konto, na przykład za pomocą phishingu.
Zobacz: Masz Facebooka? Po tych doniesieniach wielu usunie
Zobacz: Whatsapp z nową funkcją. Dziwne, że dopiero teraz
Źródło zdjęć: Ink Drop / Shutterstock.com
Źródło tekstu: techcrunch.com