Error en nuevo sistema centralizado creado por Meta para usuarios Administrar sus inicios de sesión Para Facebook e Instagram, habría permitido a los hackers maliciosos desactivar la protección de cuenta de dos factores simplemente conociendo su número de teléfono.
Gtm Mänôz, un investigador de seguridad de Nepal, se dio cuenta de que Meta no ponía un límite a los intentos cuando un usuario ingresaba el código binario utilizado para iniciar sesión en sus cuentas en el nuevo centro de metacuentasque ayuda a los usuarios a conectar todas sus cuentas Meta, como Facebook e Instagram.
Con el número de teléfono de la víctima, el atacante iría al centro de cuentas central, ingresaría el número de teléfono de la víctima, vincularía ese número a su cuenta de Facebook y luego forzaría el código SMS de dos factores. Este fue el paso clave, porque no había límite en el número de intentos que alguien podía hacer.
Una vez que el atacante tenía el código correcto, el número de teléfono de la víctima se asociaba con la cuenta de Facebook del atacante. Un ataque exitoso aún hace que Meta envíe un mensaje a la víctima, indicando que el factor doble se ha desactivado porque su número de teléfono se ha vinculado a la cuenta de otra persona.
«El mayor impacto aquí fue básicamente anular 2FA basado en SMS cuando solo conoce el número de teléfono», dijo Manoz a TechCrunch.
Un correo electrónico del Meta al propietario de la cuenta diciéndole que su protección binaria se ha desactivado. fotografía Créditos: Gtm Mänôz (captura de pantalla)
En este punto, en teoría, un atacante podría intentar apoderarse de la cuenta de Facebook de una víctima simplemente mediante el phishing de contraseña, ya que el objetivo ya no está habilitado para dos factores.
manosa Encontré un error en el Centro de Meta Cuentas el año pasado, y la empresa lo reportó a mediados de septiembre. Meta arregló el error unos días después, pagando a Mänôz $27,200 para reportar el error.
La portavoz de Meta, Gabby Curtis, le dijo a TechCrunch que en el momento del error, el sistema de inicio de sesión todavía estaba en una pequeña fase de prueba pública. Curtis también dijo que la investigación de Meta después de que se informó el error encontró que no había evidencia de exploits en la naturaleza, y que Meta no vio un aumento en el uso de esta función en particular, lo que señala el hecho de que nadie estaba abusando de ella.
30 de enero: Título actualizado para reflejar que solo las cuentas de Facebook estaban sujetas al error; Esto se debió a un error de edición. ZW.
Actualizado con un comentario de Meta.
«Experto en Internet. Lector. Fanático de la televisión. Comunicador amistoso. Practicante de alcohol certificado. Aficionado al tocino. Explorador. Malvado adicto a los tweets».
More Stories
Asus ha revelado que está trabajando en un visor de realidad virtual de «próxima generación» impulsado por el sistema operativo Horizon de Meta.
Huawei Pura 70 Ultra desmontado en vídeo, mira esa cámara retráctil
La estación de carga 8 en 1 de Anker tiene su precio más bajo hasta el momento