Um bug em um novo sistema centralizado que a Meta criou para os usuários gerenciarem seus logins no Facebook e no Instagram poderia ter permitido que hackers maliciosos desligassem as proteções de dois fatores de uma conta apenas sabendo seu número de telefone.
Gtm Mänôz, um pesquisador de segurança do Nepal, percebeu que o Meta não estabelecia um limite de tentativas quando um usuário inseria o código de dois fatores usado para fazer login em suas contas no novo Meta Accounts Center , que ajuda os usuários a vincular todas as suas contas Meta , como Facebook e Instagram.
Com o número de telefone da vítima, um invasor iria para o centro de contas centralizado, inseriria o número de telefone da vítima, vincularia esse número à sua própria conta do Facebook e forçaria o código SMS de dois fatores. Este foi o passo fundamental, porque não havia limite máximo para a quantidade de tentativas que alguém poderia fazer.
Depois que o invasor acertou o código, o número de telefone da vítima foi vinculado à conta do invasor no Facebook. Um ataque bem-sucedido ainda resultaria no Meta enviando uma mensagem para a vítima, dizendo que seu fator duplo foi desativado porque seu número de telefone foi vinculado à conta de outra pessoa.
“Basicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o número de telefone”, disse Mänôz ao TechCrunch.
Nesse ponto, teoricamente, um invasor poderia tentar controlar a conta do Facebook da vítima apenas com phishing da senha, visto que o alvo não tinha mais o recurso de dois fatores ativado.
Mänôz encontrou o bug no Meta Accounts Center no ano passado e relatou à empresa em meados de setembro. A Meta corrigiu o bug alguns dias depois e pagou a Mänôz $ 27.200 por relatar o bug.
A porta-voz da Meta, Gabby Curtis, disse ao TechCrunch que, no momento do bug, o sistema de login ainda estava em fase de um pequeno teste público. Curtis também disse que a investigação da Meta após o bug ser relatado descobriu que não havia evidências de exploração na natureza e que a Meta não viu nenhum aumento no uso desse recurso específico, o que sinalizaria o fato de que ninguém estava abusando dele.
Fonte Leia mais: https://techcrunch.com/2023/01/30/facebook-two-factor-bypass-bug/
