Twee-factor-authenticatie wordt over het algemeen beschouwd als een van de beste manieren om uw account te beveiligen, maar het is niet onfeilbaar. Bij een recent incident ontdekte de Nepalese beveiligingsonderzoeker Gtm Mänôz een beveiligingsfout in Meta’s nieuw gecentraliseerd systeem waarmee kwaadwillende hackers de tweefactorauthenticatie van een Facebook-gebruiker hadden kunnen uitschakelen door simpelweg hun telefoonnummer te kennen.
Beveiligingsfout in Meta’s privacycontrolehub
Gtm Mänôz ontdekte dat toezicht door Facebook-technici de beveiligingsfout veroorzaakte bij het maken van de Accounts Center-functie, omdat ze er niet in slaagden het aantal pogingen te beperken dat een gebruiker kon doen bij het invoeren van zijn tweefactorcode. Hierdoor kon een aanvaller het telefoonnummer van een slachtoffer koppelen aan zijn eigen Facebook-account, de tweefactor-sms-code brute forceren en de tweefactorauthenticatie van het slachtoffer uitschakelen.
Zodra de aanvaller erin slaagde om de code goed, het telefoonnummer van het slachtoffer werd gekoppeld aan het Facebook-account van de aanvaller. Dit maakt het voor de aanvallers veel gemakkelijker om het account over te nemen, omdat ze alleen het wachtwoord hoeven te phishen.
Gelukkig ontdekte Mänôz het beveiligingslek voordat bedreigingsactoren dat deden en meldde het in september aan Facebook. Het bedrijf repareerde de bug een paar dagen later en kende Mänôz $ 27.200 toe voor het melden van de bug. Volgens een woordvoerder van Meta bevond het inlogsysteem zich nog in de vroege testfase ten tijde van de bug en was er geen bewijs van misbruik in het wild.
Ondanks de snelle oplossing van het probleem, het is belangrijk om te erkennen dat beveiligings-en privacyschendingen met betrekking tot Meta’s suite met apps de afgelopen jaren een terugkerend probleem zijn geweest. Daarom is het altijd een goed idee om uw wachtwoorden regelmatig bij te werken en nooit twee keer hetzelfde wachtwoord te gebruiken. Als alternatief, voor gebruikers die moeite hebben met het onthouden van hun wachtwoorden, kan een wachtwoordbeheerder zoals 1Password dit gemakkelijk maken.
