Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga

Društvene mreže, 31.01.2023, 10:00 AM

Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga

Greška u Metinom (ranije Facebook) novom centralizovanom sistemu pod nazivom Centar za naloge koji omogućava korisnicima da sa jednog mesta upravljaju svojim Facebook i Instagram nalozima, omogućavala je hakerima da zaobiđu dodatnu zaštitu SMS dvofaktorne autentifikacije (2FA) tako što su mogli da je isključe znajući samo broj telefona korisnika. Ranjivost je Meti prijavio nepalski istraživač bezbednosti Gtm Menoz, koji je detalje o tome izneo javno tek ovog meseca.

Njegovo otkriće je bilo značajno s obzirom da funkcija Centra za naloge, omogućava korisnicima da upravljaju podešavanjima i da povežu sve svoje Meta naloge (Facebook i Instagram), kao i da je koriste za prelazak na druge naloge. Prema Menozu, napad je bio relativno jednostavan: ako ste znali broj telefona koji je druga osoba koristila za autentifikaciju sa dva faktora, mogli ste ga povezati sa sopstvenim nalogom, što bi ga uklonilo sa naloga žrtve.

Menoz je shvatio da Meta nije ograničila broj pokušaja unosa 2FA koda. Greška koju je Menoz otkrio, dozvoljavala je napadaču da pogađa taj kod koliko god puta želi, uz pomoć programa ili skripte koja može da izvrši taj zadatak i da ga na kraju pogodi. Kada bi napadač došao do tačnog koda, broj telefona žrtve bi bio povezan sa Facebook nalogom napadača.

U najgorem slučaju, ovaj napad bi u potpunosti isključio 2FA na nalogu žrtve o čemu bi Meta obavestila žrtvu uz objašnjenje da je njen broj telefona registrovao i verifikovao neko drugi. Činjenica da je napad išao preko Centra za naloge uticala je i neke druge mere bezbednosti. Kako je objasnio Menoz, Facebook vam inače ne bi dozvolio da dodate već registrovanu e-mail adresu na svoj nalog, ali ovaj metod je to zaobišao.

Napadač bi teoretski, kada isključi 2FA na nalogu žrtve, mogao da preuzme i njen Facebook nalog fišingom njene lozinke.

Meta je relativno brzo rešila problem. Menoz je grešku prijavio 14. septembra 2022. i to je rešeno sredinom oktobra. Meta je na kraju isplatila Menozu nagradu za otkriveni bag u iznosu od 27.200 dolara.

Portparolka Mete Gabi Kurtis rekla je TechCrunchu da je u vreme kada im je bag prijavljen sistem za prijavu još uvek bio u fazi malog javnog testa i da je istraga koju je sprovela Meta utvrdila da nema dokaza da je ova greška iskorišćena pre nego što je popravljena.

Naslovna fotografija: Meta


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook već godinama koristi javne objave, fotografije i interakcije korisnika za obuku veštačke inteligencije. Kompanija je već iskoristila javn... Dalje

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook je najavio da uvodi passkey (digitalni ključ) kao novi način prijavljivanja na mobilnim uređajima, bez potrebe za klasičnim lozinkama. Ov... Dalje

Zašto sajber kriminalci traže posao na LinkedIn-u

Zašto sajber kriminalci traže posao na LinkedIn-u

Sajber kriminalci iz poznate grupe FIN6 predstavljaju se kao ljudi koji traže posao na platformama poput LinkedIn-a kako bi zarazili poslodavce malve... Dalje

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje

TikTok video snimci šire malvere Vidar i StealC

TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje