โดยทั่วไปแล้วการยืนยันตัวตนแบบสองปัจจัยถือเป็นวิธีที่ดีที่สุดวิธีหนึ่งในการรักษาความปลอดภัยบัญชีของคุณ แต่ก็ใช่ว่าจะเข้าใจผิดได้ ในเหตุการณ์ล่าสุด Gtm Mänôz นักวิจัยด้านความปลอดภัยชาวเนปาลได้ค้นพบข้อบกพร่องด้านความปลอดภัยใน ของ Meta ระบบรวมศูนย์ใหม่ ซึ่งอาจอนุญาตให้แฮ็กเกอร์ที่เป็นอันตรายปิดการยืนยันตัวตนแบบสองปัจจัยของผู้ใช้ Facebook เพียงแค่รู้หมายเลขโทรศัพท์ของตน
ข้อบกพร่องด้านความปลอดภัยในศูนย์ควบคุมความเป็นส่วนตัวของ Meta
Gtm Mänôz ค้นพบว่าการกำกับดูแลโดยวิศวกรของ Facebook ทำให้เกิดข้อบกพร่องด้านความปลอดภัยเมื่อสร้างฟีเจอร์ศูนย์บัญชี เนื่องจากไม่สามารถจำกัดจำนวนครั้งที่ผู้ใช้สามารถทำได้เมื่อป้อนรหัสสองปัจจัย ส่งผลให้ผู้โจมตีสามารถเชื่อมโยงหมายเลขโทรศัพท์ของเหยื่อเข้ากับบัญชี Facebook ของตนเอง บังคับรหัส SMS แบบสองปัจจัย และปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยของเหยื่อ
เมื่อผู้โจมตีประสบความสำเร็จในการรับ รหัสถูกต้อง หมายเลขโทรศัพท์ของเหยื่อเชื่อมโยงกับบัญชี Facebook ของผู้โจมตี จึงทำให้ผู้โจมตีสามารถเข้าครอบครองบัญชีได้ง่ายกว่ามาก เนื่องจากพวกเขาต้องการแค่ฟิชชิงรหัสผ่านเท่านั้น
โชคดีที่ Mänôz ค้นพบข้อบกพร่องด้านความปลอดภัยก่อนที่จะมีผู้คุกคาม และรายงานไปยัง Facebook ในเดือนกันยายน บริษัทได้แก้ไขจุดบกพร่องในอีกไม่กี่วันต่อมา และมอบรางวัล Mänôz $27,200 สำหรับการรายงานจุดบกพร่อง ตามที่โฆษกจาก Meta ระบุว่าระบบเข้าสู่ระบบยังอยู่ในช่วงทดสอบเริ่มต้นในขณะที่เกิดข้อบกพร่อง และไม่มีหลักฐานว่ามีการแสวงหาประโยชน์ในทางใดทางหนึ่ง
แม้จะมีการแก้ไขปัญหาอย่างรวดเร็ว สิ่งสำคัญคือต้องรับทราบว่าการละเมิดความปลอดภัยและความเป็นส่วนตัวที่เกี่ยวข้องกับชุดแอปของ Meta เป็นปัญหาที่เกิดซ้ำในช่วงไม่กี่ปีที่ผ่านมา ดังนั้นจึงเป็นความคิดที่ดีเสมอที่จะอัปเดตรหัสผ่านของคุณอย่างสม่ำเสมอ และอย่าใช้รหัสผ่านเดิมซ้ำสอง อีกทางเลือกหนึ่ง สำหรับผู้ใช้ที่มีปัญหาในการจำรหัสผ่าน ผู้จัดการรหัสผ่านอย่าง 1Password สามารถทำให้สิ่งนี้ง่ายขึ้นได้