"Un error en un nuevo sistema centralizado que Meta creó para que los usuarios administraran sus inicios de sesión en Facebook e Instagram podría haber permitido que los piratas informáticos maliciosos desactivaran las protecciones de dos factores de una cuenta con solo conocer su número de teléfono."
¿Que procedimientos tomará Meta para poder contrarrestar los incidentes anunciados?
Gtm Mänôz, un investigador de seguridad de Nepal, se dio cuenta de que Meta no establecía un límite de intentos cuando un usuario ingresaba el código de dos factores utilizado para iniciar sesión en sus cuentas en el nuevo Centro de cuentas Meta , que ayuda a los usuarios a vincular todas sus cuentas Meta. , como Facebook e Instagram.
Con el número de teléfono de una víctima, un atacante iría al centro de cuentas centralizadas, ingresaría el número de teléfono de la víctima, vincularía ese número a su propia cuenta de Facebook y luego forzaría el código SMS de dos factores. Este fue el paso clave, porque no había límite superior para la cantidad de intentos que alguien podía hacer.
Puede leer también | Facebook : ya estaría lanzado una opción llamada 'Colaboraciones de creadores'
Una vez que el atacante obtuvo el código correcto, el número de teléfono de la víctima se vinculó a la cuenta de Facebook del atacante. Un ataque exitoso aún daría como resultado que Meta envíe un mensaje a la víctima, diciendo que su factor doble se deshabilitó porque su número de teléfono se vinculó a la cuenta de otra persona.
“Básicamente, el mayor impacto aquí fue revocar el 2FA basado en SMS de cualquier persona simplemente sabiendo el número de teléfono”, dijo Mänôz a TechCrunch.
Puede leer también | Facebook : ahora está que permite a los usuarios publicar carretes
En este punto, en teoría, un atacante podría intentar apoderarse de la cuenta de Facebook de la víctima simplemente mediante el phishing para obtener la contraseña, dado que el objetivo ya no tenía habilitado el doble factor.
Mänôz encontró el error en el Meta Accounts Center el año pasado y lo informó a la empresa a mediados de septiembre. Meta arregló el error unos días después y le pagó a Mänôz $ 27,200 por informar el error.
Puede leer también | Facebook Messenger : está que agrega nuevas herramientas para evitar desinformación erronea
La portavoz de Meta, Gabby Curtis, le dijo a TechCrunch que en el momento del error, el sistema de inicio de sesión todavía estaba en la etapa de una pequeña prueba pública. Curtis también dijo que la investigación de Meta después de que se informó el error encontró que no había evidencia de explotación en la naturaleza, y que Meta no vio un aumento en el uso de esa función en particular, lo que indicaría el hecho de que nadie estaba abusando de ella.
Créditos: techcrunch.com