Уязвимост в Instagram позволява заобикаляне на двуфакторното удостоверяване на Facebook

Meta вече е отстранила проблема и е платила 27 000 щ. долара на човека, който го е открил

15:05 | 1 февруари 2023 | Редактор: Кристиан Антонов 0 1085

Търсещият слабости в системите на редица големи корпорации - хакер с псевдоним Gtm Mänôz е открил проблем в API на Instagram, който може да позволи на недоброжелатели да извършат "Брут форс атака" и да заобиколят двуфакторното удостоверяване (2FA) във Facebook.

Потребителите могат да свържат своите акаунти в Instagram и Facebook, като добавят вече проверен мобилен телефонен номер, свързан с акаунт във Facebook, към първия. След въвеждане на мобилния номер, Facebook генерира еднократен код за потвърждаване на самоличността на потребителя.

Изглежда грешка в ограничението на Instagram обаче може да позволи на нападателя да управлява неограничен трафик от ботове, за да извърши атака, с множество от предварително дефинирани стойности, докато намери правилните и така да потвърди еднократния ПИН код на Facebook, като по този начин ефективно заобикаля двуфакторната защита на социалната мрежа.

"Ако телефонният номер е бил напълно потвърден и е активирана двуфакторната автентификация във Facebook, тя ще бъде деактивирана или изключена в профила на жертвата" - установява Gtm Mänôz. А ако телефонният номер е бил частично валидиран (т.е. използван само за 2FA), 2FA ще бъде отменено и телефонният номер ще бъде премахнат от атакувания акаунт - уточнява още той.

Откриването на грешката от страна на Gtm Mänôz е успешно и към момента Meta вече е отстранила проблема, като му е платила 27 хил. щ. долара като част от програмата за възнаграждение за откриване на уязвимости. Всички потребители се съветват незабавно да актуализират приложенията Meta до най-новата им версия, за да избегнат уязвимостта.

ИЗБРАНО