Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga

Društvene mreže, 31.01.2023, 10:00 AM

Greška u Metinom (ranije Facebook) novom centralizovanom sistemu pod nazivom Centar za naloge koji omogućava korisnicima da sa jednog mesta upravljaju svojim Facebook i Instagram nalozima, omogućavala je hakerima da zaobiđu dodatnu zaštitu SMS dvofaktorne autentifikacije (2FA) tako što su mogli da je isključe znajući samo broj telefona korisnika. Ranjivost je Meti prijavio nepalski istraživač bezbednosti Gtm Menoz, koji je detalje o tome izneo javno tek ovog meseca.

Njegovo otkriće je bilo značajno s obzirom da funkcija Centra za naloge, omogućava korisnicima da upravljaju podešavanjima i da povežu sve svoje Meta naloge (Facebook i Instagram), kao i da je koriste za prelazak na druge naloge. Prema Menozu, napad je bio relativno jednostavan: ako ste znali broj telefona koji je druga osoba koristila za autentifikaciju sa dva faktora, mogli ste ga povezati sa sopstvenim nalogom, što bi ga uklonilo sa naloga žrtve.

Menoz je shvatio da Meta nije ograničila broj pokušaja unosa 2FA koda. Greška koju je Menoz otkrio, dozvoljavala je napadaču da pogađa taj kod koliko god puta želi, uz pomoć programa ili skripte koja može da izvrši taj zadatak i da ga na kraju pogodi. Kada bi napadač došao do tačnog koda, broj telefona žrtve bi bio povezan sa Facebook nalogom napadača.

U najgorem slučaju, ovaj napad bi u potpunosti isključio 2FA na nalogu žrtve o čemu bi Meta obavestila žrtvu uz objašnjenje da je njen broj telefona registrovao i verifikovao neko drugi. Činjenica da je napad išao preko Centra za naloge uticala je i neke druge mere bezbednosti. Kako je objasnio Menoz, Facebook vam inače ne bi dozvolio da dodate već registrovanu e-mail adresu na svoj nalog, ali ovaj metod je to zaobišao.

Napadač bi teoretski, kada isključi 2FA na nalogu žrtve, mogao da preuzme i njen Facebook nalog fišingom njene lozinke.

Meta je relativno brzo rešila problem. Menoz je grešku prijavio 14. septembra 2022. i to je rešeno sredinom oktobra. Meta je na kraju isplatila Menozu nagradu za otkriveni bag u iznosu od 27.200 dolara.

Portparolka Mete Gabi Kurtis rekla je TechCrunchu da je u vreme kada im je bag prijavljen sistem za prijavu još uvek bio u fazi malog javnog testa i da je istraga koju je sprovela Meta utvrdila da nema dokaza da je ova greška iskorišćena pre nego što je popravljena.

Naslovna fotografija: Meta