Ένα σφάλμα σε ένα νέο κεντρικό σύστημα που δημιούργησε η Meta για να διαχειρίζονται οι χρήστες τα στοιχεία σύνδεσής τους στο Facebook και το Instagram, θα μπορούσε να έχει επιτρέψει σε κακόβουλους hackers να απενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA) ενός λογαριασμού, απλά γνωρίζοντας τον αριθμό τηλεφώνου τους.
Ο Gtm Mänôz, ένας ερευνητής ασφάλειας από το Νεπάλ, παρατήρησε ότι η Meta δεν είχε θέσει όριο στις προσπάθειες που ένας χρήστης μπορεί να εισαγάγει τον κωδικό δύο παραγόντων που χρειάζεται για τη σύνδεση στους λογαριασμούς του στο νέο Meta Accounts Center, το οποίο βοηθά τους χρήστες να συνδέσουν όλους τους λογαριασμούς Meta, όπως το Facebook και το Instagram.
Δείτε επίσης: Meta: O Donald Trump θα επιστρέψει σε Facebook και Instagram
Ωστόσο, με τον αριθμό τηλεφώνου ενός θύματος, ένας hacker θα μπορούσε να πάει στο centralized accounts center, να βάλει τον αριθμό τηλεφώνου του θύματος, να συνδέσει αυτόν τον αριθμό με τον δικό του λογαριασμό στο Facebook και μετά να λάβει μέσω brute force τον κωδικό. Αυτό ήταν το βασικό βήμα, γιατί δεν υπήρχε ανώτατο όριο στον αριθμό των προσπαθειών που θα μπορούσε να κάνει κάποιος.
Μια επιτυχημένη επίθεση θα είχε ως αποτέλεσμα να στείλει η Meta ένα μήνυμα στο θύμα, λέγοντας ότι ο έλεγχος ταυτότητας δύο παραγόντων (2FA) για το Facebook ή Instagram account έχει απενεργοποιηθεί καθώς ο αριθμός τηλεφώνου του συνδέθηκε με τον λογαριασμό κάποιου άλλου.
Δείτε επίσης: Σιάτλ: Σχολεία μηνύουν TikTok, Facebook, Instagram και Snapchat
“Βασικά το μεγαλύτερο θέμα εδώ ήταν η ανάκληση του 2FA που βασίζεται σε SMS, γνωρίζοντας απλώς τον αριθμό τηλεφώνου (του θύματος) “, είπε ο Mänôz στο TechCrunch.
Σε αυτό το σημείο, ένας εισβολέας θα μπορούσε να προσπαθήσει να καταλάβει τον λογαριασμό του θύματος στο Facebook, κλέβοντας μέσω phishing τον κωδικό πρόσβασης, δεδομένου ότι ο στόχος δεν είχε πλέον ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων (2FA).
Ο ερευνητής ασφαλείας βρήκε το σφάλμα στο Meta Accounts Center πέρυσι το καλοκαίρι και το ανέφερε στην εταιρεία στα μέσα Σεπτεμβρίου. Η Meta διόρθωσε το σφάλμα λίγο αργότερα και έδωσε στον Mänôz 27.200 $ για την αναφορά του σφάλματος.
Η εκπρόσωπος της Meta, Gabby Curtis, είπε στο TechCrunch ότι όταν εντοπίστηκε το σφάλμα, το νέο σύστημα σύνδεσης βρισκόταν ακόμα στο στάδιο μιας μικρής δημόσιας δοκιμής. Η Meta φέρεται να έκανε μια έρευνα μετά την αναφορά του σφάλματος και διαπίστωσε ότι δεν υπήρχαν στοιχεία που να αποδεικνύουν ότι είχε γίνει εκμετάλλευση του bug.
Δείτε επίσης: Το Instagram λανσάρει το «quiet mode» για να κάνετε ένα διάλειμμα από το app
Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας, απαιτώντας από τους χρήστες να παρέχουν όχι μόνο τα ονόματα χρήστη και τους κωδικούς πρόσβασης, αλλά και μια πρόσθετη πληροφορία, όπως έναν κωδικό μιας χρήσης που αποστέλλεται μέσω SMS, πριν τους χορηγηθεί πρόσβαση. Αυτό καθιστά πολύ πιο δύσκολο για τους κακόβουλους παράγοντες που μπορεί να έχουν αποκτήσει τα στοιχεία σύνδεσής σας μέσω επιθέσεων phishing ή άλλων μέσων να αποκτήσουν πρόσβαση χωρίς άδεια. Ωστόσο, πρέπει πάντα να είμαστε σε επιφυλακή, γιατί όπως συνέβη και με το bug που επηρέαζε τα Facebook accounts, το 2FA μπορεί μερικές φορές να απενεργοποιηθεί.
Πηγή: techcrunch.com