Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga

Društvene mreže, 31.01.2023, 10:00 AM

Zbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga

Greška u Metinom (ranije Facebook) novom centralizovanom sistemu pod nazivom Centar za naloge koji omogućava korisnicima da sa jednog mesta upravljaju svojim Facebook i Instagram nalozima, omogućavala je hakerima da zaobiđu dodatnu zaštitu SMS dvofaktorne autentifikacije (2FA) tako što su mogli da je isključe znajući samo broj telefona korisnika. Ranjivost je Meti prijavio nepalski istraživač bezbednosti Gtm Menoz, koji je detalje o tome izneo javno tek ovog meseca.

Njegovo otkriće je bilo značajno s obzirom da funkcija Centra za naloge, omogućava korisnicima da upravljaju podešavanjima i da povežu sve svoje Meta naloge (Facebook i Instagram), kao i da je koriste za prelazak na druge naloge. Prema Menozu, napad je bio relativno jednostavan: ako ste znali broj telefona koji je druga osoba koristila za autentifikaciju sa dva faktora, mogli ste ga povezati sa sopstvenim nalogom, što bi ga uklonilo sa naloga žrtve.

Menoz je shvatio da Meta nije ograničila broj pokušaja unosa 2FA koda. Greška koju je Menoz otkrio, dozvoljavala je napadaču da pogađa taj kod koliko god puta želi, uz pomoć programa ili skripte koja može da izvrši taj zadatak i da ga na kraju pogodi. Kada bi napadač došao do tačnog koda, broj telefona žrtve bi bio povezan sa Facebook nalogom napadača.

U najgorem slučaju, ovaj napad bi u potpunosti isključio 2FA na nalogu žrtve o čemu bi Meta obavestila žrtvu uz objašnjenje da je njen broj telefona registrovao i verifikovao neko drugi. Činjenica da je napad išao preko Centra za naloge uticala je i neke druge mere bezbednosti. Kako je objasnio Menoz, Facebook vam inače ne bi dozvolio da dodate već registrovanu e-mail adresu na svoj nalog, ali ovaj metod je to zaobišao.

Napadač bi teoretski, kada isključi 2FA na nalogu žrtve, mogao da preuzme i njen Facebook nalog fišingom njene lozinke.

Meta je relativno brzo rešila problem. Menoz je grešku prijavio 14. septembra 2022. i to je rešeno sredinom oktobra. Meta je na kraju isplatila Menozu nagradu za otkriveni bag u iznosu od 27.200 dolara.

Portparolka Mete Gabi Kurtis rekla je TechCrunchu da je u vreme kada im je bag prijavljen sistem za prijavu još uvek bio u fazi malog javnog testa i da je istraga koju je sprovela Meta utvrdila da nema dokaza da je ova greška iskorišćena pre nego što je popravljena.

Naslovna fotografija: Meta


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle hakovanja naloga poznatih ličnosti i kompanija TikTok ispravio grešku koju su hakeri iskoristili za napade

Posle hakovanja naloga poznatih ličnosti i kompanija TikTok ispravio grešku koju su hakeri iskoristili za napade

Prošle nedelje TikTok nalozi više kompanija i poznatih ličnosti su hakovani zahvaljujući tome što su napadači iskoristili ranjivost nultog dana ... Dalje

Facebook se pridružuje koaliciji za borbu protiv prevara

Facebook se pridružuje koaliciji za borbu protiv prevara

Facebook je često kritikovan zbog toga što ne čini dovoljno na suzbijanju prevara, a neki čak optužuju kompaniju da profitira na lažnim oglasima... Dalje

EU pokreće istragu o Facebooku i Instagramu zbog kršenja propisa o bezbednosti dece na mreži

EU pokreće istragu o Facebooku i Instagramu zbog kršenja propisa o bezbednosti dece na mreži

Društvene mreže kompanije Meta Platforms Facebook i Instagram biće predmet istrage zbog mogućih kršenja propisa EU o onlajn sadržaju koji se od... Dalje

Evropol i šefovi evropskih policija zabrinuti zbog enkripcije na platformama društvenih mreža

Evropol i šefovi evropskih policija zabrinuti zbog enkripcije na platformama društvenih mreža

Šefovi evropskih policija pozvali su i industriju i vlade na hitnu akciju kako bi se zaštitila javna bezbednost na platformama društvenih mreža, i... Dalje

Meta testira alate za Instagram i Facebook koji treba da spreče seksualne ucene i zloupotrebu intimnih slika

Meta testira alate za Instagram i Facebook koji treba da spreče seksualne ucene i zloupotrebu intimnih slika

Meta je objavila da će uskoro početi da testira novu funkciju zaštite od golotinje u Instagram DM-ovima, koja zamagljuje slike za koje se otkrije d... Dalje