Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga
Društvene mreže, 31.01.2023, 10:00 AM
![Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga](/thumbs/v2_5260_screenshot-about.fb.com-2023.01.20-10_58_22.png)
Greška u Metinom (ranije Facebook) novom centralizovanom sistemu pod nazivom Centar za naloge koji omogućava korisnicima da sa jednog mesta upravljaju svojim Facebook i Instagram nalozima, omogućavala je hakerima da zaobiđu dodatnu zaštitu SMS dvofaktorne autentifikacije (2FA) tako što su mogli da je isključe znajući samo broj telefona korisnika. Ranjivost je Meti prijavio nepalski istraživač bezbednosti Gtm Menoz, koji je detalje o tome izneo javno tek ovog meseca.
Njegovo otkriće je bilo značajno s obzirom da funkcija Centra za naloge, omogućava korisnicima da upravljaju podešavanjima i da povežu sve svoje Meta naloge (Facebook i Instagram), kao i da je koriste za prelazak na druge naloge. Prema Menozu, napad je bio relativno jednostavan: ako ste znali broj telefona koji je druga osoba koristila za autentifikaciju sa dva faktora, mogli ste ga povezati sa sopstvenim nalogom, što bi ga uklonilo sa naloga žrtve.
Menoz je shvatio da Meta nije ograničila broj pokušaja unosa 2FA koda. Greška koju je Menoz otkrio, dozvoljavala je napadaču da pogađa taj kod koliko god puta želi, uz pomoć programa ili skripte koja može da izvrši taj zadatak i da ga na kraju pogodi. Kada bi napadač došao do tačnog koda, broj telefona žrtve bi bio povezan sa Facebook nalogom napadača.
U najgorem slučaju, ovaj napad bi u potpunosti isključio 2FA na nalogu žrtve o čemu bi Meta obavestila žrtvu uz objašnjenje da je njen broj telefona registrovao i verifikovao neko drugi. Činjenica da je napad išao preko Centra za naloge uticala je i neke druge mere bezbednosti. Kako je objasnio Menoz, Facebook vam inače ne bi dozvolio da dodate već registrovanu e-mail adresu na svoj nalog, ali ovaj metod je to zaobišao.
Napadač bi teoretski, kada isključi 2FA na nalogu žrtve, mogao da preuzme i njen Facebook nalog fišingom njene lozinke.
Meta je relativno brzo rešila problem. Menoz je grešku prijavio 14. septembra 2022. i to je rešeno sredinom oktobra. Meta je na kraju isplatila Menozu nagradu za otkriveni bag u iznosu od 27.200 dolara.
Portparolka Mete Gabi Kurtis rekla je TechCrunchu da je u vreme kada im je bag prijavljen sistem za prijavu još uvek bio u fazi malog javnog testa i da je istraga koju je sprovela Meta utvrdila da nema dokaza da je ova greška iskorišćena pre nego što je popravljena.
Naslovna fotografija: Meta
![Acronis](/s2.png)
Izdvojeno
Meta uklonila 63.000 Instagram naloga povezanih sa seksualnom iznudom
![Meta uklonila 63.000 Instagram naloga povezanih sa seksualnom iznudom](/thumbs/v2_4809_screenshot-about.fb.com-2024.07.png)
Meta je obrisala 63.000 Instagram naloga iz Nigerije koji su bili umešani u prevare i seksualne ucene, među kojima i mrežu od 2.500 naloga povezani... Dalje
Meti dat rok do septembra da odgovori na zabrinutost EU zbog primoravanja korisnika da plaćaju svoje pravo na privatnost
![Meti dat rok do septembra da odgovori na zabrinutost EU zbog primoravanja korisnika da plaćaju svoje pravo na privatnost](/thumbs/v2_9713_thought-catalog-tRL_Rkh6D8o-unsplash.jpg)
Meta je dobila rok do 1. septembra da odgovori na pitanja Evropske komisije u vezi sa svojim novim modelom oglašavanja koji primorava korisnike da bi... Dalje
Epidemija oglasa na Facebooku koji nude besplatan popularni softver a dovode do infekcije uređaja
![Epidemija oglasa na Facebooku koji nude besplatan popularni softver a dovode do infekcije uređaja](/thumbs/v2_9045_pexels-pixabay-267399.jpg)
Sajber kriminalci koriste poslovne Facebook stranice i oglase za reklamiranje lažnih Windows tema, piratskih igara i softvera Sora AI, 3D image creat... Dalje
Zbog obmane korisnika i netransparentnosti EU preti platformi X kaznom od 6% godišnjeg prometa
![Zbog obmane korisnika i netransparentnosti EU preti platformi X kaznom od 6% godišnjeg prometa](/thumbs/v2_2284_alexander-shatov-d4_aCS3jsQ0-unsplash.jpg)
Evropska komisija je u petak zvanično rekla da veruje da je X (bivši Twitter) prekršio tehnološke propise EU i da bi mogao da se suoči sa kaznom ... Dalje
Meta krši evropski zakon primoravanjem korisnika Facebooka i Instagrama da pristanu na prikupljanje podataka
![Meta krši evropski zakon primoravanjem korisnika Facebooka i Instagrama da pristanu na prikupljanje podataka](/thumbs/v2_9561_pexels-julio-lopez-75309646-17514176.jpg)
Evropska komisija je obavestila Metu da njen model „plati ili pristani“ krši zakon EU jer ne dozvoljava korisnicima da bez prisile odluč... Dalje
Pratite nas
Nagrade