Защиту безопасности Meta 2FA можно было легко отключить
вычисления techradar.com Новости

Защиту безопасности Meta 2FA можно было легко отключить

1 февраля 2023 г.

Еще в сентябре 2022 г. ошибка в централизованной системе управления учетными записями Meta позволяла злоумышленникам удалять 2FA обеспечивает защиту учетных записей Facebook, просто зная номер телефона, прикрепленный к учетной записи.

Согласно Публикация в СМИ, (через Techcrunch ), исследователь безопасности Gtm Mänôz обнаружил это в Meta Accounts Center аккаунтмен системы управления, предназначенной для связывания учетных записей Facebook и Instagram, злоумышленник может ввести номер телефона жертвы, связать этот номер со своей учетной записью Facebook, а затем подобрать SMS-код 2FA для учетной записи жертвы, благодаря тому, что не установлен верхний предел для попыток ввода кода.

После успешной попытки у жертв будет отключена двухфакторная аутентификация, и их учетные записи будут защищены только паролем, который после фишинг или социальная инженерия, может быть легко обнаружена специальным злоумышленником.

Программа поиска ошибок Meta

В своем сообщении на Medium Маноз заявил, что обнаружил ошибку в ходе подготовки к BountyCon, конференции исследователей безопасности, организованной совместно Meta и Google, просто подтолкнув «новый интерфейс» в Meta Accounts Center.

Он также заявил об этом, поскольку конечные точки, которые проверяют адреса электронной почты и номера телефонов в учетных записях Instagram и Facebook были одинаковыми, проверку контактных точек, которые уже были привязаны к учетным записям, можно было обойти, что сделало ошибку возможной.

Подробнее

> Мета-хит с огромным штрафом за утечку пользовательских данных< сильный

> Что такое мошенничество с идентификационными данными и почему кража личных данных является проблемой?

> Мы также составили список лучших служб защиты от кражи личных данных. прямо сейчас

Хотя неизвестно, как долго ошибка была активна в части Facebook системы 2FA Meta Account Center, исправление появилось чуть более чем через месяц, когда Маноз отправил отчет об ошибке в Meta 14 сентября, и исправление было подтверждено. ему 17 октября.

Meta сама упомянула об ошибке в обзор программы Bug Bounty за 2022 год, в которой отмечается, что Маноз получил за свои усилия 27 200 долларов США.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE