Okazuje się, iż w stworzonym przez Metę oprogramowaniu ułatwiającym życie użytkownikom posiadającym wiele profili np. na Facebooku i Instagrami, istniała groźna luka. Wykorzystując ją hakerzy mogli wyłączać dwuskładnikowy mechanizm uwierzytelnienia (w skrócie 2FA; Two-Factor Authentication), znając wyłącznie adres e-mail i numer telefonu atakowanego użytkownika.
Błąd znajdował się w oprogramowaniu Meta Accounts Center i został wykryty przez zwykłego użytkownika internetu, któremu Meta wypłaciła w ramach konkursu bug bounty nagrodę w wysokości 27 tys. USD. Wykrył on jak mechanizm dwuskładnikowego uwierzytelniania się można wyłączać, a w oprogramowaniu Meta Accounts Center nie ma limitu prób logowania się do usługi.
Scenariusz ataku mógł być taki: znając numer telefonu ofiary lub adres e-mail, osoba atakująca przechodzi do centralnego modułu zarządzającego kontami (Meta Accounts Center) i wprowadza tam numer telefonu ofiary, po czym łączy go z własnym kontem na Facebooku czy Instagrami i uruchamia proces wysyłania kodu SMS. Meta wdrożyła już łatę naprawiającą tę lukę.
Zobacz również:
Po wykonaniu tej czynności numer telefonu ofiary jest powiązany z Facebookowym kontem hakera. Widząc, że numer telefonu został powiązany z kontem innej osoby, Meta wyłącza system uwierzytelniania 2FA. W tym momencie atakujący może teoretycznie spróbować przejąć konto ofiary na Facebooku, wyłudzając np. hasło metodą phishingu, gdyż funkcja 2FA została wyłączona, a w programie Meta Accounts Center nie ma żadnego limitu prób logowania się do konta.
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS