0
0
Un bug in un nuovo sistema centralizzato, creato da Meta per consentire agli utenti di gestire i propri accessi per Facebook e Instagram, avrebbe potuto consentire agli hacker malintenzionati di disattivare le protezioni a due fattori di un account semplicemente conoscendo il loro numero di telefono.
Gtm Mänôz, un ricercatore di sicurezza del Nepal, si è reso conto che Meta non aveva impostato un limite di tentativi quando un utente inseriva il codice a due fattori, utilizzato per accedere ai propri account sul nuovoMeta Accounts Center, che aiuta gli utenti a collegare tutti i loro account Meta, come Facebook e Instagram.
Con il numero di telefono di una vittima, un utente malintenzionato avrebbe potuto aprire Accounts Center, inserire il numero di telefono della vittima e collegare quel numero al proprio account Facebook e di conseguenza al codice SMS per l’autenticazione a due fattori. Questo è stato il passaggio chiave, perché non c’era un limite massimo al numero di tentativi che qualcuno poteva fare.
Una volta che l’aggressore otteneva il codice giusto, il numero di telefono della vittima sarebbe stato poi collegato all’account Facebook di essa.
Un attacco riuscito avrebbe comportato l’invio di un messaggio alla vittima da parte di Meta, dicendo che il suo doppio fattore sarebbe stato disabilitato poiché il suo numero di telefono è collegato all’account di qualcun altro.
“Fondamentalmente l’impatto maggiore qui è stato revocare l’autenticazione a due fattori basata su SMS di chiunque solo conoscendo il numero di telefono”, ha detto Mänôz.
La scoperta
A questo punto, in teoria, un utente malintenzionato poteva impadronirsi dell’account Facebook della vittima solo tramite phishing per la password, dato che il bersaglio non ha più abilitato il doppio fattore.
Gtm Mänôz, rendendosi conto del bug nel Meta Accounts Center l’anno scorso, lo ha subito segnalato a Meta, permettendo di correggere il bug pochi giorni dopo.
Meta ha poi ricompensato Mänôz con un premio di $ 27.200 per aver segnalato il bug.
