Bilgisayar korsanı, herkesin Facebook 2FA’yı atlamasına izin veren hatayı keşfeder • TechCrunch
Kullanıcılar için Meta tarafından oluşturulan yeni bir merkezi sistemde hata Girişlerini yönet Facebook ve Instagram için, kötü niyetli bilgisayar korsanlarının sadece telefon numaralarını bilerek iki faktörlü hesap korumasını kapatmasına izin verirdi.
Nepal’den bir güvenlik araştırmacısı olan Gtm Mänôz, bir kullanıcı yeni hesaplarında oturum açmak için kullanılan ikili kodu girdiğinde Meta’nın denemelere bir sınır koymadığını fark etti. Meta hesap merkezikullanıcıların Facebook ve Instagram gibi tüm Meta hesaplarını bağlamasına yardımcı olur.
Saldırgan, kurbanın telefon numarasıyla merkezi bir hesap merkezine gider, kurbanın telefon numarasını girer, bu numarayı Facebook hesabıyla ilişkilendirir ve ardından iki faktörlü SMS kodunu zorlar. Bu kilit hamleydi, çünkü birinin yapabileceği girişim sayısında bir sınır yoktu.
Saldırgan doğru kodu aldığında, kurbanın telefon numarası saldırganın Facebook hesabıyla ilişkilendirildi. Başarılı bir saldırı yine de Meta’nın kurbana, telefon numarası başka birinin hesabına bağlandığı için iki faktörün devre dışı bırakıldığını belirten bir mesaj göndermesine neden olur.
Manoz, TechCrunch’a “Buradaki en büyük etki, yalnızca telefon numarasını bildiğinizde SMS tabanlı 2FA’yı geçersiz kılmaktı” dedi.
Bu noktada, teorik olarak, hedef artık iki faktör etkin olmadığından, bir saldırgan kurbanın Facebook hesabını yalnızca şifre hırsızlığı ile ele geçirmeye çalışabilir.
mannoz bir hata buldum geçen yıl Meta Hesaplar Merkezi’nde ve şirket bunu Eylül ortasında bildirdi. Meta, birkaç gün sonra hatayı düzeltti ve hatayı bildirmek için Mänôz’a 27.200$ ödedi.
Meta sözcüsü Gabby Curtis, TechCrunch’a hata sırasında giriş sisteminin hala küçük bir genel test aşamasında olduğunu söyledi. Curtis ayrıca, hata bildirildikten sonra Meta’nın soruşturmasının, vahşi ortamda sömürüye dair hiçbir kanıt olmadığını bulduğunu ve Meta’nın bu özel özelliğin kullanımında herhangi bir artış görmediğini söyleyerek, kimsenin onu kötüye kullanmadığına işaret etti.
30 Ocak: Başlık, yalnızca Facebook hesaplarının hataya maruz kaldığını yansıtacak şekilde güncellendi; Bunun nedeni bir düzenleme hatasıydı. ZW.
Meta’dan bir yorumla güncellendi.