L’autenticazione a due fattori è generalmente considerata uno dei modi migliori per proteggere il tuo account, ma non è infallibile. In un recente incidente, il ricercatore di sicurezza nepalese Gtm Mänôz ha scoperto una falla di sicurezza in di Meta nuovo sistema centralizzato che avrebbe potuto consentire a hacker malintenzionati di disattivare l’autenticazione a due fattori di un utente di Facebook semplicemente conoscendone il numero di telefono.
Vola di sicurezza nell’hub di controllo della privacy di Meta
Gtm Mänôz ha scoperto che la supervisione degli ingegneri di Facebook ha causato la falla di sicurezza durante la creazione della funzione Centro account, poiché non sono riusciti a limitare il numero di tentativi che un utente può effettuare quando inserisce il proprio codice a due fattori. Ciò ha consentito a un utente malintenzionato di collegare il numero di telefono di una vittima al proprio account Facebook, applicare la forza bruta al codice SMS a due fattori e disabilitare l’autenticazione a due fattori della vittima.
Una volta che l’attaccante è riuscito a ottenere corretto il codice, il numero di telefono della vittima è stato collegato all’account Facebook dell’aggressore. In questo modo è molto più facile per gli aggressori impossessarsi dell’account, in quanto avrebbero solo bisogno di phishing per la password.
Fortunatamente, Mänôz ha scoperto la falla di sicurezza prima di qualsiasi attore della minaccia e l’ha segnalata a Facebook a settembre. La società ha corretto il bug pochi giorni dopo e ha assegnato a Mänôz $ 27.200 per aver segnalato il bug. Secondo un portavoce di Meta, il sistema di accesso era ancora nelle sue prime fasi di test al momento del bug e non c’erano prove di sfruttamento in natura.
Nonostante la rapida risoluzione del problema, è importante riconoscere che le violazioni della sicurezza e della privacy che coinvolgono la suite di app di Meta sono state una preoccupazione ricorrente negli ultimi anni. Pertanto, è sempre una buona idea aggiornare regolarmente le password e non utilizzare mai la stessa password due volte. In alternativa, per quegli utenti che hanno difficoltà a ricordare le proprie password, un gestore di password come 1Password può semplificare le cose.
