La autenticación de dos factores generalmente se considera una de las mejores formas de proteger su cuenta, pero no es infalible. En un incidente reciente, el investigador de seguridad nepalés Gtm Mänôz descubrió una falla de seguridad en el de Meta. nuevo sistema centralizado que podría haber permitido a piratas informáticos maliciosos desactivar la autenticación de dos factores de un usuario de Facebook con solo conocer su número de teléfono.
Falta de seguridad en el centro de control de privacidad de Meta
Gtm Mänôz descubrió que la supervisión de los ingenieros de Facebook causó la falla de seguridad al crear la función del Centro de cuentas, ya que no limitaron la cantidad de intentos que un usuario podía hacer al ingresar su código de dos factores. Esto dio como resultado que un atacante pudiera vincular el número de teléfono de una víctima a su propia cuenta de Facebook, aplicar fuerza bruta al código SMS de dos factores y deshabilitar la autenticación de dos factores de la víctima.
Una vez que el atacante logró obtener el código correcto, el número de teléfono de la víctima se vinculó a la cuenta de Facebook del atacante. Por lo tanto, es mucho más fácil para los atacantes controlar la cuenta, ya que solo necesitarían phishing para obtener la contraseña.
Afortunadamente, Mänôz descubrió la falla de seguridad antes que cualquier actor de amenazas y lo informó a Facebook en septiembre. La empresa arregló el error unos días después y otorgó a Mänôz $ 27,200 por informar el error. Según un portavoz de Meta, el sistema de inicio de sesión aún estaba en sus primeras etapas de prueba en el momento del error y no había evidencia de explotación en la naturaleza.
A pesar de la rápida resolución del problema, es importante reconocer que las infracciones de seguridad y privacidad que involucran el conjunto de aplicaciones de Meta han sido una preocupación recurrente en los últimos años. Por lo tanto, siempre es una buena idea actualizar regularmente sus contraseñas y nunca usar la misma contraseña dos veces. Alternativamente, para aquellos usuarios que tienen problemas para recordar sus contraseñas, un administrador de contraseñas como 1Password puede hacerlo fácil.