Un error en un nuevo sistema centralizado que Meta creó para que los usuarios administraran sus inicios de sesión en Facebook e Instagram podría haber permitido que los piratas informáticos maliciosos desactivaran las protecciones de dos factores de una cuenta con solo conocer su número de teléfono.
Gtm Mänôz, un investigador de seguridad de Nepal, se dio cuenta de que Meta no establecía un límite de intentos cuando un usuario ingresaba el código de dos factores utilizado para iniciar sesión en sus cuentas en el nuevo Centro de cuentas Meta, que ayuda a los usuarios a vincular todas sus cuentas Meta. , como Facebook e Instagram.
Con el número de teléfono de una víctima, un atacante iría al centro de cuentas centralizadas, ingresaría el número de teléfono de la víctima, vincularía ese número a su propia cuenta de Facebook y luego forzaría el código SMS de dos factores. Este fue el paso clave, porque no había límite superior para la cantidad de intentos que alguien podía hacer.
Una vez que el atacante obtuvo el código correcto, el número de teléfono de la víctima se vinculó a la cuenta de Facebook del atacante. Un ataque exitoso aún daría como resultado que Meta envíe un mensaje a la víctima, diciendo que su factor doble se deshabilitó porque su número de teléfono se vinculó a la cuenta de otra persona.
“Básicamente, el mayor impacto aquí fue revocar el 2FA basado en SMS de cualquier persona simplemente sabiendo el número de teléfono”, dijo Mänôz a TechCrunch.
Un correo electrónico de Meta al propietario de una cuenta diciéndole que sus protecciones de dos factores se han desactivado. Créditos de imagen: Gtm Mänôz (captura de pantalla)
En este punto, en teoría, un atacante podría intentar apoderarse de la cuenta de Facebook de la víctima simplemente mediante el phishing para obtener la contraseña, dado que el objetivo ya no tenía habilitado el doble factor.
Mänôz encontró el error en el Meta Accounts Center el año pasado y lo informó a la empresa a mediados de septiembre. Meta arregló el error unos días después y le pagó a Mänôz $ 27,200 por informar el error.
La portavoz de Meta, Gabby Curtis, le dijo a TechCrunch que en el momento del error, el sistema de inicio de sesión todavía estaba en la etapa de una pequeña prueba pública. Curtis también dijo que la investigación de Meta después de que se informó el error encontró que no había evidencia de explotación en la naturaleza, y que Meta no vio un aumento en el uso de esa función en particular, lo que indicaría el hecho de que nadie estaba abusando de ella.
30 de enero: Titular actualizado para reflejar que solo las cuentas de Facebook eran vulnerables al error; esto se debió a un error de edición. ZW.
Actualizado con comentario de Meta.