Hacker scopre un bug che permetteva a chiunque di bypassare Facebook 2FA • TechCrunch

Bug in un nuovo sistema centralizzato creato da Meta per gli utenti Gestisci i loro accessi Per Facebook e Instagram, avrebbe consentito agli hacker malintenzionati di disattivare la protezione dell’account a due fattori semplicemente conoscendo il loro numero di telefono.

Gtm Mänôz, un ricercatore di sicurezza del Nepal, si è reso conto che Meta non ha posto un limite ai tentativi quando un utente ha inserito il codice binario utilizzato per accedere ai propri account sul nuovo Meta account centerche aiuta gli utenti a connettere tutti i loro account Meta, come Facebook e Instagram.

Con il numero di telefono della vittima, l’attaccante andrebbe al centro account centrale, inserirebbe il numero di telefono della vittima, collegherebbe quel numero al suo account Facebook e quindi forzerebbe il codice SMS a due fattori. Questo era il passaggio chiave, perché non c’era limite al numero di tentativi che qualcuno poteva fare.

Una volta che l’aggressore ha ottenuto il codice corretto, il numero di telefono della vittima è stato associato all’account Facebook dell’aggressore. Un attacco riuscito fa comunque sì che Meta invii un messaggio alla vittima, affermando che il doppio fattore è stato disabilitato poiché il loro numero di telefono è stato collegato all’account di qualcun altro.

“L’impatto maggiore qui è stato sostanzialmente l’annullamento della 2FA basata su SMS quando conosci solo il numero di telefono”, ha detto Manoz a TechCrunch.

Un’e-mail dal Meta al proprietario dell’account che informa che la sua protezione binaria è stata disattivata. Crediti immagine: Gtm Mänôz (screenshot)

A questo punto, in teoria, un utente malintenzionato potrebbe tentare di impossessarsi dell’account Facebook di una vittima semplicemente tramite il phishing della password, poiché l’obiettivo non è più abilitato a due fattori.

mannosio Ho trovato un bug nel Meta Accounts Center l’anno scorso e la società lo ha segnalato a metà settembre. Meta ha corretto il bug pochi giorni dopo, pagando Manoz $ 27.200 per segnalare il bug.

La portavoce di Meta, Gabby Curtis, ha dichiarato a TechCrunch che al momento del bug, il sistema di accesso era ancora in una piccola fase di test pubblico. Curtis ha anche affermato che l’indagine di Meta dopo la segnalazione del bug ha rilevato che non c’erano prove di exploit in natura e che Meta non ha visto alcun picco nell’uso di questa particolare funzionalità, indicando il fatto che nessuno ne stava abusando.

30 gennaio: titolo aggiornato per riflettere che solo gli account Facebook erano soggetti all’errore; Ciò era dovuto a un errore di modifica. Z W.

Aggiornato con un commento da Meta.