Todavía en septiembre de 2022, un error en el sistema de gestión de cuentas centralizado de Meta permitió a los actores de amenazas eliminar 2FA protecciones para las cuentas de Facebook simplemente conociendo el número de teléfono asociado a una cuenta.
De acuerdo a un Publicación mediana (se abre en una pestaña nueva)(a través de Techcrunch (se abre en una pestaña nueva)), el investigador de seguridad Gtm Mänôz encontró que, desde el Meta Accounts Center (se abre en una pestaña nueva) sistema de administración de cuentas diseñado para vincular cuentas de Facebook e Instagram, un atacante podría ingresar el número de teléfono de una víctima, vincular el número a su propia cuenta de Facebook y luego forzar el código 2FA SMS para la cuenta de la víctima, gracias a que no hay un límite superior establecido para intentos de entrada de código.
Después de un intento exitoso, las víctimas tendrían su 2FA deshabilitado, dejando sus cuentas solo protegidas por una contraseña, que, luego de una suplantación de identidad o Ingeniería social ataque, podría ser fácilmente recuperado por un actor de amenazas dedicado.
En su publicación de Medium, Mänôz afirmó haber encontrado el error en preparación para BountyCon, una conferencia de investigadores de seguridad organizada conjuntamente por Meta y Google, simplemente presionando «una nueva interfaz de usuario» dentro de Meta Accounts Center.
También afirmó que, debido a que el puntos finales que verifican que las direcciones de correo electrónico y los números de teléfono en las cuentas de Instagram y Facebook eran los mismos, se podía omitir la verificación de los puntos de contacto que ya se habían adjuntado a las cuentas, lo que hacía posible el error.
Aunque se desconoce cuánto tiempo estuvo activo el error dentro de la parte de Facebook del sistema 2FA de Meta Account Center, apareció una solución después de poco más de un mes, con Mänôz enviando un informe de error a Meta el 14 de septiembre, y se le confirmó una solución el 17 de octubre.
El propio Meta mencionó el error en el Resumen de 2022 de su programa Bug Bounty (se abre en una pestaña nueva)señalando que Mänôz recibió $27,200 por sus esfuerzos.