Autentikasi dua faktor umumnya dianggap sebagai salah satu cara terbaik untuk mengamankan akun Anda, tetapi tidak mudah. Dalam insiden baru-baru ini, peneliti keamanan Nepal Gtm Mänôz menemukan kelemahan keamanan di Meta sistem terpusat baru yang memungkinkan peretas jahat mematikan autentikasi dua faktor pengguna Facebook hanya dengan mengetahui nomor telepon mereka.
Kelemahan keamanan di hub kontrol privasi Meta
Gtm Mänôz menemukan bahwa pengawasan oleh teknisi Facebook menyebabkan kelemahan keamanan saat membuat fitur Pusat Akun, karena mereka gagal membatasi jumlah upaya yang dapat dilakukan pengguna saat memasukkan kode dua faktor mereka. Hal ini mengakibatkan penyerang dapat menautkan nomor telepon korban ke akun Facebook mereka sendiri, memaksa paksa kode SMS dua faktor, dan menonaktifkan autentikasi dua faktor korban.
Setelah penyerang berhasil mendapatkan kodenya benar, nomor telepon korban menjadi tertaut ke akun Facebook penyerang. Sehingga memudahkan penyerang untuk mengambil alih akun, karena mereka hanya perlu melakukan phishing untuk kata sandi.
Untungnya, Mänôz menemukan kelemahan keamanan sebelum pelaku ancaman dan melaporkannya ke Facebook pada bulan September. Perusahaan memperbaiki bug tersebut beberapa hari kemudian dan menghadiahkan Mänôz $27.200 karena melaporkan bug tersebut. Menurut juru bicara dari Meta, sistem login masih dalam tahap pengujian awal pada saat bug, dan tidak ada bukti eksploitasi di alam liar.
Meskipun masalah ini dapat diselesaikan dengan cepat, penting untuk mengetahui bahwa pelanggaran keamanan dan privasi yang melibatkan rangkaian aplikasi Meta telah menjadi perhatian berulang dalam beberapa tahun terakhir. Oleh karena itu, sebaiknya perbarui kata sandi Anda secara teratur dan jangan pernah menggunakan kata sandi yang sama dua kali. Selain itu, bagi pengguna yang kesulitan mengingat sandinya, pengelola sandi seperti 1Password dapat mempermudahnya.