Um hacker descobriu uma vulnerabilidade da autenticação de dois fatores no sistema de gerenciamento de logins do Facebook e Instagram, a Central de Contas da Meta
A descoberta do hacker e pesquisador de segurança, Gtm Mänôz, mostra que o bug presente na Central de Contas não contava com um limite de tentativas para inserir o código de dois fatores exigido para login, conforme relata o TechCrunch.
Leia mais:
- Apple lança atualização de segurança para aparelhos antigos
- Cuidado com esses 10 aplicativos de phishing encontrados na Google Play Store
- Vulnerabilidade afeta o Microsoft Azure
O código de autenticação era enviado para a conta ou número de telefone do usuário. A ausência de limite de tentativas permitia que o invasor, por meio de um ataque de bots, tentasse adivinhar o código de seis números até acertar.
Após o invasor conseguir acertar o código, era possível desativar a 2FA e remover o número de telefone da vítima. A partir dessas etapas o invasor tinha total controle da conta.
De acordo com Mänôz, a vulnerabilidade foi relatada para a Meta em 14 de setembro de 2022, em outubro o problema de segurança foi resolvido.
Após a correção, a Meta não encontrou evidências de que o bug foi explorado por hackers, de acordo com o depoimento do porta-voz da empresa em depoimento ao TechCrunch.
“Basicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o número de telefone”, disse Mänôz ao site.
O pesquisador de segurança recebeu uma recompensa de US$27.200 por descobrir e comunicar o bug para a Meta.
Em resposta ao Techcrunch, a Meta informou que no momento em que a vulnerabilidade esteve presente o sistema de login passava por um pequeno teste público. Além disso, não foi registrado nenhum dano devido ao problema, que já foi corrigido.
Imagem: Primakov/ Shutterstock
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: