Ein Fehler in einem neuen zentralisierten System, das Meta für Benutzer erstellt hat, um ihre Anmeldungen für Facebook und Instagram zu verwalten, hätte es böswilligen Hackern ermöglichen können, den Zwei-Faktor-Schutz eines Kontos auszuschalten, nur indem sie ihre Telefonnummer kennen.
Gtm Mänôz, ein Sicherheitsforscher aus Nepal, erkannte, dass Meta kein Limit für Versuche festgelegt hatte, wenn ein Benutzer den Zwei-Faktor-Code eingab, mit dem er sich bei seinen Konten auf dem neuen anmeldete Meta Accounts Centerdas Benutzern hilft, alle ihre Meta-Konten wie Facebook und Instagram zu verknüpfen.
Mit der Telefonnummer eines Opfers würde ein Angreifer zum zentralen Kontenzentrum gehen, die Telefonnummer des Opfers eingeben, diese Nummer mit seinem eigenen Facebook-Konto verknüpfen und dann den Zwei-Faktor-SMS-Code brutal erzwingen. Dies war der entscheidende Schritt, denn es gab keine Obergrenze für die Anzahl der Versuche, die jemand machen konnte.
Sobald der Angreifer den Code richtig verstanden hatte, wurde die Telefonnummer des Opfers mit dem Facebook-Konto des Angreifers verknüpft. Ein erfolgreicher Angriff würde immer noch dazu führen, dass Meta eine Nachricht an das Opfer sendet, in der es heißt, dass sein Zwei-Faktor-Angriff deaktiviert wurde, da seine Telefonnummer mit dem Konto eines anderen verknüpft wurde.
„Im Grunde bestand die größte Auswirkung hier darin, die SMS-basierte 2FA von irgendjemandem zu widerrufen, nur weil man die Telefonnummer kannte“, sagte Mänôz gegenüber Tech.
Eine E-Mail von Meta an einen Kontoinhaber, die ihm mitteilt, dass sein Zwei-Faktor-Schutz deaktiviert wurde. Bildnachweis: Gtm Mänôz (Screenshot)
An diesem Punkt könnte ein Angreifer theoretisch versuchen, das Facebook-Konto des Opfers zu übernehmen, indem er einfach das Passwort per Phishing abfragt, da das Ziel die Zwei-Faktor-Funktion nicht mehr aktiviert hat.
Mänoz den Fehler gefunden letztes Jahr im Meta Accounts Center und meldete es Mitte September an das Unternehmen. Meta behob den Fehler ein paar Tage später und zahlte Mänôz 27.200 Dollar für die Meldung des Fehlers.
Meta-Sprecherin Gabby Curtis sagte gegenüber Tech, dass sich das Anmeldesystem zum Zeitpunkt des Fehlers noch in der Phase eines kleinen öffentlichen Tests befand. Curtis sagte auch, dass Metas Untersuchung nach der Meldung des Fehlers ergab, dass es keine Hinweise auf Ausbeutung in freier Wildbahn gab und dass Meta keinen Anstieg der Nutzung dieser bestimmten Funktion sah, was die Tatsache signalisieren würde, dass niemand sie missbrauchte.
30. Januar: Überschrift aktualisiert, um anzuzeigen, dass nur Facebook-Konten für den Fehler anfällig waren; Dies war auf einen Bearbeitungsfehler zurückzuführen. ZW.
Aktualisiert mit Kommentar von Meta.