Un bug in un nuovo sistema centralizzato che Meta ha creato per consentire agli utenti di gestire i propri accessi per Facebook e Instagram avrebbe potuto consentire agli hacker malintenzionati di disattivare le protezioni a due fattori di un account semplicemente conoscendo il loro numero di telefono.
Gtm Mänôz, un ricercatore di sicurezza del Nepal, si è reso conto che Meta non ha impostato un limite di tentativi quando un utente ha inserito il codice a due fattori utilizzato per accedere ai propri account sul nuovo Meta Accounts Center, che aiuta gli utenti a collegare tutti i loro account Meta, come Facebook e Instagram.
Con il numero di telefono di una vittima, un utente malintenzionato andrebbe al centro account centralizzato, inserirebbe il numero di telefono della vittima, collegherebbe quel numero al proprio account Facebook e quindi forza bruta il codice SMS a due fattori. Questo è stato il passaggio chiave, perché non c’era un limite massimo al numero di tentativi che qualcuno poteva fare.
Una volta che l’aggressore ha ottenuto il codice giusto, il numero di telefono della vittima è stato collegato all’account Facebook dell’aggressore.
Un attacco riuscito comporterebbe comunque l’invio di un messaggio alla vittima da parte di Meta, dicendo che il suo doppio fattore è stato disabilitato poiché il suo numero di telefono è stato collegato all’account di qualcun altro.
“Fondamentalmente l’impatto maggiore qui è stato revocare l’autenticazione a due fattori basata su SMS di chiunque solo conoscendo il numero di telefono”, ha detto Mänôz a TechCrunch.
A questo punto, in teoria, un utente malintenzionato potrebbe tentare di impadronirsi dell’account Facebook della vittima solo tramite phishing per la password, dato che il bersaglio non ha più abilitato il doppio fattore.
Mänôz ha trovato il bug nel Meta Accounts Center l’anno scorso e lo ha segnalato all’azienda a metà settembre. Meta ha corretto il bug pochi giorni dopo e ha pagato a Mänôz $ 27.200 per aver segnalato il bug.
Il portavoce di Meta, Gabby Curtis, ha dichiarato che al momento del bug il sistema di accesso era ancora nella fase di un piccolo test pubblico. Curtis ha anche affermato che l’indagine di Meta dopo la segnalazione del bug ha rilevato che non c’erano prove di sfruttamento e che Meta non ha visto alcun picco nell’utilizzo di quella particolare funzione, il che segnalerebbe il fatto che nessuno ne stava abusando.
Guarda subito
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte Disney+
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video