Gesichtspalme: Meta hat kürzlich ein zentralisiertes Login-System implementiert, um Benutzern von Instagram, Facebook und Meta (VR) die Verwaltung ihrer Konten zu erleichtern. Leider haben die Ingenieure bei der Einrichtung des 2FA-Systems einen eklatanten Fehler in Bezug auf die Versuchsbegrenzung übersehen.
Ein frischer Sicherheitsforscher namens Gtm Mänôz bemerkte den Fehler im Juli 2022. Auf der Suche nach seinem ersten Bug-Bounty, das er auf der BountyCon 2022 präsentieren wollte, begann Mänôz, mit der Benutzeroberfläche des Meta Accounts Center herumzuspielen, die alle Meta-Konten verwaltet und ähnliche Funktionen wie die von Google hinzufügt -Beenden Sie die Anmeldung für die verschiedenen Dienste (YouTube, Gmail, Docs usw.).
Er bemerkte, dass die Seite es Benutzern ermöglichte, eine Telefonnummer mit ihren Konten zu verknüpfen, wenn sie sie verknüpften. Benutzer geben einfach ihre Telefonnummer und dann den sechsstelligen 2FA-Code ein, den ihnen das System sendet. Mänôz entdeckte jedoch, dass das Account Center den Benutzer bei Eingabe eines falschen Codes einfach auffordert, ihn erneut einzugeben, anstatt einen neuen Code zu senden.
Darüber hinaus gab es keine Begrenzung, wie viele Fehlversuche man in das Bestätigungsfeld eingeben konnte. Dieses Versehen ermöglichte es Mänôz, die 2FA auf seinem eigenen Konto brutal zu erzwingen, um seine Telefonnummer mit einem anderen Facebook-Profil zu verknüpfen. Die einzige Warnung kommt, nachdem die Telefonnummer in einer E-Mail von Meta an das Opfer gestohlen wurde, in der es darüber informiert wird, dass sie mit dem Konto eines anderen Benutzers verknüpft wurde.
Während die Schädlichkeit dieses Exploits hauptsächlich auf eine lästige Wiederherstellung der Telefonnummer des Besitzers beschränkt ist, deaktiviert es effektiv 2FA auf dem Konto des Opfers, wenn auch vorübergehend. Bis das Ziel aktiv wird, ist es für Passwort-Phishing-Angriffe anfällig.
„Im Grunde bestand die größte Auswirkung hier darin, die SMS-basierte 2FA von irgendjemandem zu widerrufen, nur weil man die Telefonnummer kannte“, sagte Mänôz gegenüber >.
Mänôz hat Meta im September über den Fehler informiert und die Schwachstelle sofort gepatcht. Ein Sprecher sagte, als Mänôz das Problem fand, war das Meta Accounts Center noch in der Beta-Phase und nur für eine kleine Anzahl von Benutzern verfügbar. Der Vertreter stellte auch fest, dass die Untersuchung von Meta keine Spitzen bei der Nutzung dieser Funktion ergab, was darauf hindeutet, dass Hacker sie nicht ausgenutzt hatten.
Trotz der relativ geringen Behandlung des Fehlers verlieh Meta Mänôz ein 27.200-Dollar-Bug-Bounty. Nicht zu schäbig für seine erste Insektenjagd.
Meta ist in den letzten Jahren einige Male in Bezug auf die Anmeldefunktionen seiner verschiedenen Konten gestolpert. Im Jahr 2021 löste es eine leichte Panik aus, als es bei der Neukonfiguration der Website alle von Facebook abmeldete. Letztes Jahr wurden viele Benutzer absichtlich aus ihren Konten gesperrt, weil sie „Facebook Protect“ nicht bis zu einer Frist aktiviert hatten, die durch eine offizielle Meta-E-Mail festgelegt wurde, die verdächtig nach einem Phishing-Betrug aussah.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/T4QZILJC5RBLFFVQKYGK5BJFRM.jpg?fit=300%2C300&ssl=1)
