Xác thực hai yếu tố thường được coi là một trong những cách tốt nhất để bảo mật tài khoản của bạn, nhưng nó không phải là cách hoàn hảo. Trong một sự cố gần đây, nhà nghiên cứu bảo mật người Nepal Gtm Mänôz đã phát hiện ra một lỗ hổng bảo mật trong của Meta hệ thống tập trung mới có thể cho phép tin tặc độc hại tắt xác thực hai yếu tố của người dùng Facebook chỉ bằng cách biết số điện thoại của họ.
Lỗ hổng bảo mật trong trung tâm kiểm soát quyền riêng tư của Meta
Gtm Mänôz đã phát hiện ra rằng sự giám sát của các kỹ sư Facebook đã gây ra lỗ hổng bảo mật khi tạo tính năng Trung tâm tài khoản, vì họ không thể giới hạn số lần thử mà người dùng có thể thực hiện khi nhập mã hai yếu tố của họ. Điều này dẫn đến việc kẻ tấn công có thể liên kết số điện thoại của nạn nhân với tài khoản Facebook của chính họ, sử dụng vũ lực mã SMS hai yếu tố và vô hiệu hóa xác thực hai yếu tố của nạn nhân.
Sau khi kẻ tấn công lấy được thành công đúng mã, số điện thoại của nạn nhân được liên kết với tài khoản Facebook của kẻ tấn công. Do đó, kẻ tấn công dễ dàng chiếm đoạt tài khoản hơn nhiều vì chúng chỉ cần lừa đảo để lấy mật khẩu.
May mắn thay, Mänôz đã phát hiện ra lỗ hổng bảo mật trước bất kỳ tác nhân đe dọa nào và đã báo cáo cho Facebook vào tháng 9. Công ty đã sửa lỗi vài ngày sau đó và thưởng cho Mänôz 27.200 đô la vì đã báo cáo lỗi. Theo người phát ngôn từ Meta, hệ thống đăng nhập vẫn đang trong giai đoạn thử nghiệm ban đầu vào thời điểm xảy ra lỗi và không có bằng chứng về việc khai thác trong thực tế.
Mặc dù vấn đề đã được giải quyết nhanh chóng, điều quan trọng là phải thừa nhận rằng các vi phạm bảo mật và quyền riêng tư liên quan đến bộ ứng dụng của Meta là mối lo ngại lặp đi lặp lại trong những năm gần đây. Do đó, bạn nên thường xuyên cập nhật mật khẩu của mình và không bao giờ sử dụng cùng một mật khẩu hai lần. Ngoài ra, đối với những người dùng gặp khó khăn trong việc ghi nhớ mật khẩu của mình, một trình quản lý mật khẩu như 1Password có thể giúp việc này trở nên dễ dàng.
