A Meta nemrégiben új funkciót épített be közösségi oldalai felületére, amely segítségével össze lehet kapcsolni az Instagram és a Facebook-fiókokat. Azonban egy, a központi rendszerben talált hiba lehetővé tette, hogy rosszindulatú szereplők kikapcsolják a fiókok kétfaktoros védelmét a telefonszám ismeretében – írja a TechCrunch.
A hibát egy nepáli biztonsági kutató észrevette. Gtm Mänôz szerint a techóriás azzal vétett hibát, hogy nem állított be próbálkozási korlátot, amikor egy felhasználó beírta a bejelentkezéshez használatos kétfaktoros hitelesítési kódot az új Meta Accounts Centerben.
Jobb esetben a rendszer még ekkor is működött, és sikeres támadás esetén a Meta üzenetet küldött az áldozatnak, amelyben közölte, hogy a kétfaktoros hitelesítési rendszer letiltásra került, mivel a telefonszáma valaki más fiókjához kapcsolódott. Így a támadó a jelszó megszerzésével, lényegében egy egyszerű adathalász támadással átvehette az irányítást az áldozat Facebook-fiókja felett.
A biztonsági kutató tavaly szeptemberben jelentette a hibát a vállalatnak, amely néhány nappal később kijavította a hibát, és 27 200 dollárt (közel 10 millió forintot) utalt a bug felfedezőjének. A Meta szóvivője, Gabby Curtis jelezte, a jelentés beérkezésekor a bejelentkezési rendszer még csak egy kisebb nyilvános tesztelési stádiumában volt, és a vizsgálatok alapján nagy valószínűséggel nem is használták ki azt.