Bilgisayar korsanı, herkesin Facebook 2FA’yı atlamasına izin veren hatayı keşfeder • TechCrunch

0
Bilgisayar korsanı, herkesin Facebook 2FA’yı atlamasına izin veren hatayı keşfeder • TechCrunch

Kullanıcılar için Meta tarafından oluşturulan yeni bir merkezi sistemde hata Girişlerini yönet Facebook ve Instagram için, kötü niyetli bilgisayar korsanlarının sadece telefon numaralarını bilerek iki faktörlü hesap korumasını kapatmasına izin verirdi.

Nepal’den bir güvenlik araştırmacısı olan Gtm Mänôz, bir kullanıcı yeni hesaplarında oturum açmak için kullanılan ikili kodu girdiğinde Meta’nın denemelere bir sınır koymadığını fark etti. Meta hesap merkezikullanıcıların Facebook ve Instagram gibi tüm Meta hesaplarını bağlamasına yardımcı olur.

Saldırgan, kurbanın telefon numarasıyla merkezi bir hesap merkezine gider, kurbanın telefon numarasını girer, bu numarayı Facebook hesabıyla ilişkilendirir ve ardından iki faktörlü SMS kodunu zorlar. Bu kilit hamleydi, çünkü birinin yapabileceği girişim sayısında bir sınır yoktu.

Saldırgan doğru kodu aldığında, kurbanın telefon numarası saldırganın Facebook hesabıyla ilişkilendirildi. Başarılı bir saldırı yine de Meta’nın kurbana, telefon numarası başka birinin hesabına bağlandığı için iki faktörün devre dışı bırakıldığını belirten bir mesaj göndermesine neden olur.

Manoz, TechCrunch’a “Buradaki en büyük etki, yalnızca telefon numarasını bildiğinizde SMS tabanlı 2FA’yı geçersiz kılmaktı” dedi.

Meta tarafından bir kullanıcıya gönderilen ve şunları söyleyen bir e-postanın ekran görüntüsü: "Telefon numaranızın Facebook'ta başka biri tarafından kaydedildiğini ve doğrulandığını size bildirmek istedik."

Meta’dan hesap sahibine, ikili korumalarının kapatıldığını bildiren bir e-posta. resim Kredi: Gtm Mänôz (ekran görüntüsü)

Bu noktada, teorik olarak, hedef artık iki faktör etkin olmadığından, bir saldırgan kurbanın Facebook hesabını yalnızca şifre hırsızlığı ile ele geçirmeye çalışabilir.

mannoz bir hata buldum geçen yıl Meta Hesaplar Merkezi’nde ve şirket bunu Eylül ortasında bildirdi. Meta, birkaç gün sonra hatayı düzeltti ve hatayı bildirmek için Mänôz’a 27.200$ ödedi.

Meta sözcüsü Gabby Curtis, TechCrunch’a hata sırasında giriş sisteminin hala küçük bir genel test aşamasında olduğunu söyledi. Curtis ayrıca, hata bildirildikten sonra Meta’nın soruşturmasının, vahşi ortamda sömürüye dair hiçbir kanıt olmadığını bulduğunu ve Meta’nın bu özel özelliğin kullanımında herhangi bir artış görmediğini söyleyerek, kimsenin onu kötüye kullanmadığına işaret etti.

30 Ocak: Başlık, yalnızca Facebook hesaplarının hataya maruz kaldığını yansıtacak şekilde güncellendi; Bunun nedeni bir düzenleme hatasıydı. ZW.

Meta’dan bir yorumla güncellendi.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir