Błąd pozwalający wyłączać mechanizm uwierzytelniania 2FA w oprogramowaniu do zarządzania kontami w social mediach Mety

Okazuje się, iż w stworzonym przez Metę oprogramowaniu ułatwiającym życie użytkownikom posiadającym wiele profili np. na Facebooku i Instagrami, istniała groźna luka. Wykorzystując ją hakerzy mogli wyłączać dwuskładnikowy mechanizm uwierzytelnienia (w skrócie 2FA; Two-Factor Authentication), znając wyłącznie adres e-mail i numer telefonu atakowanego użytkownika.

Błąd znajdował się w oprogramowaniu Meta Accounts Center i został wykryty przez zwykłego użytkownika internetu, któremu Meta wypłaciła w ramach konkursu bug bounty nagrodę w wysokości 27 tys. USD. Wykrył on jak mechanizm dwuskładnikowego uwierzytelniania się można wyłączać, a w oprogramowaniu Meta Accounts Center nie ma limitu prób logowania się do usługi.

Scenariusz ataku mógł być taki: znając numer telefonu ofiary lub adres e-mail, osoba atakująca przechodzi do centralnego modułu zarządzającego kontami (Meta Accounts Center) i wprowadza tam numer telefonu ofiary, po czym łączy go z własnym kontem na Facebooku czy Instagrami i uruchamia proces wysyłania kodu SMS. Meta wdrożyła już łatę naprawiającą tę lukę.

Zobacz również:

  • Facebook i Instagram bez reklam, ale za dodatkową opłatą
  • Meta wprowadzi do Europy usługi wolne od reklam

Po wykonaniu tej czynności numer telefonu ofiary jest powiązany z Facebookowym kontem hakera. Widząc, że numer telefonu został powiązany z kontem innej osoby, Meta wyłącza system uwierzytelniania 2FA. W tym momencie atakujący może teoretycznie spróbować przejąć konto ofiary na Facebooku, wyłudzając np. hasło metodą phishingu, gdyż funkcja 2FA została wyłączona, a w programie Meta Accounts Center nie ma żadnego limitu prób logowania się do konta.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200