Luka w zabezpieczeniach Facebooka pozwalała wyłączyć komuś 2FA

Konta na Facebooku były przez pewien czas niedostatecznie zabezpieczone mimo ustawionego uwierzytelniania dwuetapowego. Badacz bezpieczeństwa odkrył lukę w systemie zarządzania hasłami Mety, która pozwalała na nieograniczoną liczbę prób wpisywania jednorazowego hasła z SMS-a.

Niedopatrzenie opisuje Tech Crunch. Luka dotyczyła centrum zarządzania hasłami do kont Mety, a odkrył ją badacz z Nepalu w drugiej połowie ubiegłego roku. Dziś podatności już nie ma (Meta wypłaciła nagrodę przeszło 27 tys. dolarów), ale nie zmienia to faktu, że przez pewien czas użytkownicy Facebooka byli narażeni na atak. Jak zauważył badacz, system nie został odgórnie ograniczony co do liczby prób wpisywania jednorazowego hasła z SMS-a w przypadku ustawionego uwierzytelniania 2FA.

W praktyce, znając jedynie numer telefonu ofiary, dzięki metodzie brute force można było w ten sposób doprowadzić do wyłączenia uwierzytelniania dwuskładnikowego na czyimś koncie. Metoda polegała na próbie przypisania cudzego numeru telefonu do własnego konta. Gdyby takie działanie się udało, uwierzytelnianie dwuetapowe Facebooka zostałoby automatycznie wyłączone na poprzednim koncie. A takie działanie mogło się udać – właśnie przez brak zabezpieczenia co do liczby podjętych prób przez atakującego.

Co ciekawe i najważniejsze, podczas dalszego badania sprawy Meta poinformowała badacza, że nic nie wskazuje na to, by ktokolwiek wcześniej wykorzystał tę podatność. Cieszy zatem fakt, że lukę udało się usunąć, zanim ktokolwiek zrobił z niej pożytek. Z tego miejsca serdecznie radzimy co do zasady korzystać z uwierzytelniania dwuetapowego wszędzie tam, gdzie to możliwe.