Facebook: bug lejonte të anashkalohej mbrojtja 2FA

Meta i dha një çmim prej 27,200 dollarësh një studiuesi nepalez që zbuloi një dobësi në Qendrën e Llogarive. Problemi është rregulluar nga kompania Menlo Park, më pas janë zbuluar detajet e defektit.

Defekti i vërtetimit me dy faktorë
Ndër veçoritë e sigurisë së Facebook ka ato që ju lejojnë të aktivizoni vërtetimin me dy faktorë (2FA). Kur përdoruesi hyn në rrjetin social, ai duhet të konfirmojë identitetin e tij duke futur kodin gjashtëshifror të marrë me SMS. Qendra e Menaxhimit të Llogarisë ju lejon të shtoni numrin e telefonit që do të përdoret nga të gjitha llogaritë (Facebook dhe Instagram) për dërgimin e 2 kodeve FA.

Dobësia ishte për shkak të mungesës së një kufiri për përpjekjet për futjen e kodit. Në thelb, një sulmues mund të detyrojë kodin gjashtëshifror dhe ta përdorë atë për të konfirmuar se numri i telefonit të viktimës ishte shtuar në llogarinë e sulmuesit. Më pas Facebook i dërgon viktimës një email duke e informuar se vërtetimi me dy faktorë është çaktivizuar sepse numri i telefonit është lidhur me një llogari tjetër.

Problemi u rregullua në mesin e tetorit 2022. Një zëdhënës i Meta theksoi se, kur studiuesi raportoi defektin, sistemi i identifikimit përmes Qendrës së Llogarive ishte ende në fazën e testimit. Në çdo rast, nuk u zbuluan sulme (shfrytëzimi) që shfrytëzonin cenueshmërinë.


This is a companion discussion topic for the original entry at https://zero1.al/2023/01/31/facebook-bug-lejonte-te-anashkalohej-mbrojtja-2fa/