Следите за нашими обновлениями в
Функція Центру облікових записів Meta мала помилку, яка дозволяла хакерам використовувати двофакторну автентифікацію через SMS, дозволяючи їм обійти додатковий захист ( через TechCrunch ). Про вразливість, яку, за словами Meta, було усунено в грудні , повідомив непальський дослідник безпеки Gtm Mänôz, який детально описав експлойт у дописі Medium на початку цього місяця .
Це була важлива знахідка, оскільки Meta, схоже, приділяє все більше уваги функції Центру облікових записів, що дозволяє вам керувати налаштуваннями та інформацією про безпеку з нього, а також використовувати його для переходу на інші облікові записи . За словами Меноза, атака була відносно простою; якби ви знали номер телефону іншої особи для двофакторної автентифікації, ви могли б зв’язати його зі своїм власним обліковим записом, що видалило б його з облікового запису жертви.
Це має запобігти шестизначний код автентифікації, який надсилається на обліковий запис або номер телефону іншої особи, до якого ви не маєте доступу. (Якби ви це зробили, вам не знадобився б експлойт.) Однак помилка, яку знайшов Mänôz, дозволяє зловмиснику вгадувати цей код скільки завгодно разів — установіть програму чи сценарій для виконання цього завдання, і він, зрештою, вгадає правильно.
У найгіршому випадку (метод мав різний ефект залежно від того, повністю чи частково підтвердила особа свою контактну інформацію), це повністю вимкне 2FA в обліковому записі жертви. Той факт, що він запускався через Центр облікових записів, також порушив деякі інші заходи безпеки; згідно з дописом Mänôz, Facebook зазвичай не дозволяє додати вже зареєстровану адресу електронної пошти до вашого облікового запису, але цей метод обійшов це.
Мета, здається, вирішила проблему відносно швидко. Mänôz повідомив про це 14 вересня 2022 року, і це було розглянуто до середини жовтня після того, як команда безпеки компанії фактично з’ясувала, як це перевірити. (За словами Меноза, Центр облікових записів не був розгорнутий для облікових записів команди, і він зник з облікового запису Меноза після того, як він надав їм облікові дані, щоб вони могли з ним тестувати.) Мета закінчилася тим, що заплатила Менозу винагороду в розмірі 27 200 доларів США за повідомлення про помилку. проблема. Meta не надала офіційної заяви про вплив помилки, але речник Габбі Кертіс повідомила TechCrunch , що її виявили під час невеликого публічного тестування та, здається, не було доказів того, що її використовували до усунення. .