Uwierzytelnianie dwuskładnikowe jest ogólnie uważane za jeden z najlepszych sposobów zabezpieczenia konta, ale nie jest niezawodne. W niedawnym incydencie nepalski badacz bezpieczeństwa Gtm Mänôz odkrył lukę w zabezpieczeniach Meta nowy scentralizowany system, który mógł umożliwić złośliwym hakerom wyłączenie uwierzytelniania dwuskładnikowego użytkownika Facebooka po prostu znając jego numer telefonu.
Luka w zabezpieczeniach centrum kontroli prywatności Meta
Gtm Mänôz odkrył, że niedopatrzenie ze strony inżynierów Facebooka spowodowało lukę w zabezpieczeniach podczas tworzenia funkcji Centrum kont, ponieważ nie udało im się ograniczyć liczby prób, które użytkownik może wykonać podczas wprowadzania dwuskładnikowego kodu. Dzięki temu atakujący był w stanie powiązać numer telefonu ofiary z własnym kontem na Facebooku, brutalnie wymusić dwuskładnikowy kod SMS i wyłączyć dwuskładnikowe uwierzytelnianie ofiary.
Gdy atakującemu udało się uzyskać kod był prawidłowy, numer telefonu ofiary został powiązany z kontem atakującego na Facebooku. Ułatwia to atakującym przejęcie konta, ponieważ wystarczy wyłudzić hasło.
Na szczęście Mänôz odkrył lukę w zabezpieczeniach przed jakimikolwiek cyberprzestępcami i zgłosił ją Facebookowi we wrześniu. Firma naprawiła błąd kilka dni później i przyznała Mänôzowi 27 200 $ za zgłoszenie błędu. Według rzecznika Meta, system logowania był wciąż na wczesnym etapie testów w momencie wystąpienia błędu i nie było dowodów na wykorzystanie w środowisku naturalnym.
Pomimo szybkiego rozwiązania problemu, ważne jest, aby przyznać, że naruszenia bezpieczeństwa i prywatności związane z pakietem aplikacji Meta były powracającym problemem w ostatnich latach. Dlatego zawsze dobrze jest regularnie aktualizować hasła i nigdy nie używać tego samego hasła dwa razy. Alternatywnie, dla tych użytkowników, którzy mają problemy z zapamiętaniem swoich haseł, menedżer haseł, taki jak 1Password, może to ułatwić.
