Kaksivaiheista todennusta pidetään yleensä yhtenä parhaista tavoista suojata tilisi, mutta se ei ole idioottivarma. Äskettäisessä välikohtauksessa nepalilainen turvallisuustutkija Gtm Mänôz löysi tietoturvavirheen Metan uusi keskitetty järjestelmä, jonka avulla pahantahtoiset hakkerit olisivat voineet kytkeä Facebook-käyttäjän kaksivaiheisen todennuksen pois päältä heidän puhelinnumeronsa tiedossa.
Metan tietosuojakeskuksen tietoturvavirhe
Gtm Mänôz havaitsi, että Facebookin insinöörien valvonta aiheutti tietoturvavirheen tilikeskuksen ominaisuutta luotaessa, koska he eivät pystyneet rajoittamaan sitä, kuinka monta yritystä käyttäjä voi tehdä syöttäessään kaksitekijäistä koodiaan. Tämä johti siihen, että hyökkääjä pystyi linkittämään uhrin puhelinnumeron omaan Facebook-tiliinsä, raa’alla voimalla kaksifaktorisen tekstiviestikoodin ja poistamaan uhrin kaksivaiheisen todennuksen käytöstä.
Kun hyökkääjä onnistui saamaan koodi oikein, uhrin puhelinnumero yhdistettiin hyökkääjän Facebook-tiliin. Näin hyökkääjien on paljon helpompi ottaa tili haltuunsa, koska heidän tarvitsee vain kalastella salasana.
Onneksi Mänôz löysi tietoturvavirheen ennen muita uhkatekijöitä ja ilmoitti siitä Facebookille syyskuussa. Yritys korjasi virheen muutamaa päivää myöhemmin ja myönsi Mänôzille 27 200 dollaria virheen ilmoittamisesta. Metan tiedottajan mukaan kirjautumisjärjestelmä oli vielä varhaisessa testausvaiheessa vian ilmetessä, eikä luonnossa ollut todisteita hyväksikäytöstä.
Huolimatta ongelman nopeasta ratkaisusta, On tärkeää tunnustaa, että Metan sovellussarjaan liittyvät tietoturva-ja tietosuojaloukkaukset ovat olleet toistuva huolenaihe viime vuosina. Siksi on aina hyvä idea päivittää salasanasi säännöllisesti, äläkä koskaan käytä samaa salasanaa kahdesti. Vaihtoehtoisesti niille käyttäjille, joilla on vaikeuksia muistaa salasanoja, salasananhallinta, kuten 1Password, voi tehdä tämän helpoksi.
