Okiem PrezesaBłąd pozwalający wyłączać mechanizm uwierzytelniania 2FA w oprogramowaniu do zarządzania kontami w social mediach Mety
-
- Janusz Chustecki,
- 31.01.2023, godz. 11:04
Okazuje się, iż w stworzonym przez Metę oprogramowaniu ułatwiającym życie użytkownikom posiadającym wiele profili np. na Facebooku i Instagrami, istniała groźna luka. Wykorzystując ją hakerzy mogli wyłączać dwuskładnikowy mechanizm uwierzytelnienia (w skrócie 2FA; Two-Factor Authentication), znając wyłącznie adres e-mail i numer telefonu atakowanego użytkownika.
Błąd znajdował się w oprogramowaniu Meta Accounts Center i został wykryty przez zwykłego użytkownika internetu, któremu Meta wypłaciła w ramach konkursu bug bounty nagrodę w wysokości 27 tys. USD. Wykrył on jak mechanizm dwuskładnikowego uwierzytelniania się można wyłączać, a w oprogramowaniu Meta Accounts Center nie ma limitu prób logowania się do usługi.
Scenariusz ataku mógł być taki: znając numer telefonu ofiary lub adres e-mail, osoba atakująca przechodzi do centralnego modułu zarządzającego kontami (Meta Accounts Center) i wprowadza tam numer telefonu ofiary, po czym łączy go z własnym kontem na Facebooku czy Instagrami i uruchamia proces wysyłania kodu SMS. Meta wdrożyła już łatę naprawiającą tę lukę.
Zobacz również:
- Płatna weryfikacja kont dociera do Facebooka oraz Instagrama
- Płatna weryfikacja kont trafia do portali grupy Meta
Po wykonaniu tej czynności numer telefonu ofiary jest powiązany z Facebookowym kontem hakera. Widząc, że numer telefonu został powiązany z kontem innej osoby, Meta wyłącza system uwierzytelniania 2FA. W tym momencie atakujący może teoretycznie spróbować przejąć konto ofiary na Facebooku, wyłudzając np. hasło metodą phishingu, gdyż funkcja 2FA została wyłączona, a w programie Meta Accounts Center nie ma żadnego limitu prób logowania się do konta.
