Pratite nas preko RSS-aZbog greške u Facebookom Centru za naloge hakeri vam mogu isključiti 2FA zaštitu naloga
Društvene mreže, 31.01.2023, 10:00 AM
Greška u Metinom (ranije Facebook) novom centralizovanom sistemu pod nazivom Centar za naloge koji omogućava korisnicima da sa jednog mesta upravljaju svojim Facebook i Instagram nalozima, omogućavala je hakerima da zaobiđu dodatnu zaštitu SMS dvofaktorne autentifikacije (2FA) tako što su mogli da je isključe znajući samo broj telefona korisnika. Ranjivost je Meti prijavio nepalski istraživač bezbednosti Gtm Menoz, koji je detalje o tome izneo javno tek ovog meseca.
Njegovo otkriće je bilo značajno s obzirom da funkcija Centra za naloge, omogućava korisnicima da upravljaju podešavanjima i da povežu sve svoje Meta naloge (Facebook i Instagram), kao i da je koriste za prelazak na druge naloge. Prema Menozu, napad je bio relativno jednostavan: ako ste znali broj telefona koji je druga osoba koristila za autentifikaciju sa dva faktora, mogli ste ga povezati sa sopstvenim nalogom, što bi ga uklonilo sa naloga žrtve.
Menoz je shvatio da Meta nije ograničila broj pokušaja unosa 2FA koda. Greška koju je Menoz otkrio, dozvoljavala je napadaču da pogađa taj kod koliko god puta želi, uz pomoć programa ili skripte koja može da izvrši taj zadatak i da ga na kraju pogodi. Kada bi napadač došao do tačnog koda, broj telefona žrtve bi bio povezan sa Facebook nalogom napadača.
U najgorem slučaju, ovaj napad bi u potpunosti isključio 2FA na nalogu žrtve o čemu bi Meta obavestila žrtvu uz objašnjenje da je njen broj telefona registrovao i verifikovao neko drugi. Činjenica da je napad išao preko Centra za naloge uticala je i neke druge mere bezbednosti. Kako je objasnio Menoz, Facebook vam inače ne bi dozvolio da dodate već registrovanu e-mail adresu na svoj nalog, ali ovaj metod je to zaobišao.
Napadač bi teoretski, kada isključi 2FA na nalogu žrtve, mogao da preuzme i njen Facebook nalog fišingom njene lozinke.
Meta je relativno brzo rešila problem. Menoz je grešku prijavio 14. septembra 2022. i to je rešeno sredinom oktobra. Meta je na kraju isplatila Menozu nagradu za otkriveni bag u iznosu od 27.200 dolara.
Portparolka Mete Gabi Kurtis rekla je TechCrunchu da je u vreme kada im je bag prijavljen sistem za prijavu još uvek bio u fazi malog javnog testa i da je istraga koju je sprovela Meta utvrdila da nema dokaza da je ova greška iskorišćena pre nego što je popravljena.
Naslovna fotografija: Meta
Izdvojeno
TikTok pokrenuo kampanju protiv zabrane aplikacije
Uoči svog dugo očekivanog susreta sa američkim zakonodavcima na Kapitol Hilu u četvrtak, izvršni direktor TikToka Šou Zi Ču objavio je na TikTo... Dalje
Twitter danas ukida SMS dvofaktornu autentifikaciju za većinu korisnika, ovo su alternative za njih
Počev od danas, 20. marta, dvofaktorna autentifikacija (2FA) bazirana na SMS porukama biće dostupna samo korisnicima Twittera koji plaćaju Blue pre... Dalje
TikTok pokreće novi projekat koji treba da uveri evropske zakonodavce da su podaci korisnika bezbedni
Zbog sve većih pritisaka i zabrinutosti američkih i evropskih vlasti zbog mogućeg deljenja korisničkih podataka sa kineskom vladom, TikTok uvodi n... Dalje
SAD sve bliže potpunoj zabrani TikToka
Zakon koji je ove nedelje predstavljen u američkom Kongresu omogućio bi Beloj kući da zabrani TikTok i druge strane tehnologije u celoj zemlji a s... Dalje
Posle devet godina Messenger se vraća u Facebook mobilnu aplikaciju
Prošlo je mnogo vremena otkako je Messenger odvojen od Facebook mobilne aplikacije. Skoro devet godina kasnije, Meta je spremna da ih ponovo spoji. &... Dalje
Pratite nas
Nagrade
Prijatelji
