Sicherheitsforscher findet Fehler, der es Hackern ermöglicht haben könnte, Facebooks 2FA zu umgehen

Meta ein zentralisiertes System geschaffen, das es Benutzern ermöglicht, verbundene Erlebnisse zu verwalten, wie z. B. die Anmeldung über mehrere Konten hinweg Facebook und Instagram. Ein Sicherheitsforscher hat einen Fehler in diesem System genannt Meta Accounts Centerhat Hackern möglicherweise erlaubt, sie zu deaktivieren Zwei-Faktor-Authentifizierung (2FA) – eine Methode, die Benutzern hilft, ihre Social-Media-Konten vor unbefugtem Zugriff zu schützen.
Gtm Mänôz, ein Sicherheitsforscher aus Nepal, sagte, er habe im September letzten Jahres einen Fehler gemeldet, den er im Meta Accounts Center gefunden habe.
Fehler im Meta Accounts Center
Mänôz sagte, dass er festgestellt habe, dass Meta kein Limit für die Eingabe des Anmeldecodes festgelegt habe, den es im Rahmen des Zwei-Faktor-Authentifizierungsprozesses per SMS verschicke. Laut dem Forscher hätte dieser Fehler es einem Hacker ermöglicht, den Authentifizierungsschutz mit Brute-Force-Angriffen zu umgehen.

Es ist zu beachten, dass Benutzer, wenn sie die Zwei-Faktor-Authentifizierung einrichten, nach einem speziellen Code gefragt werden, um sich bei einem Konto anzumelden. Dieser Code wird jedes Mal gesendet, wenn sich Benutzer bei ihren Konten anmelden. Benutzer erhalten auch Benachrichtigungen, wenn jemand versucht, sich über einen Browser oder ein mobiles Gerät anzumelden, das Meta nicht erkennt.
Dies hilft Benutzern, ihre Konten zu schützen, selbst wenn Hacker an die Telefonnummer eines Benutzers gelangen, da sie nicht über den speziellen Code verfügen, der zum Anmelden bei ihren Konten erforderlich ist. Da es keine Begrenzung für Authentifizierungsversuche über den Anmeldecode gab, hätten Hacker diesen Code erraten können, indem sie ihn mehrmals eingegeben hätten, bis sie ihn richtig verstanden hätten.
Falls der Hacker den Code richtig verstanden hat, wurde die Telefonnummer des Opfers mit dem Facebook-Konto des Angreifers verknüpft. Meta wird den Opfern weiterhin eine Nachricht senden, in der sie darüber informiert werden, dass ihr 2FA deaktiviert wurde und ihre Telefonnummer mit dem Konto einer anderen Person verknüpft wurde.

Da die 2FA für dieses spezielle Konto nicht mehr existierte, hätten Hacker zu diesem Zeitpunkt das Konto des Opfers übernehmen können.
Meta hat den Fehler behoben
Mänôz sagte, dass Meta diese Schwachstelle kurz nachdem er den Fehler gefunden und gemeldet hatte, behoben habe. „Wir haben auch einen von Gtm Mänôz aus Nepal gemeldeten Fehler behoben, der es einem Angreifer hätte ermöglichen können, SMS-basierte 2FA zu umgehen, indem er ein ratenbegrenzendes Problem ausnutzte, um die zur Bestätigung der Telefonnummer einer Person erforderliche Verifizierungs-PIN brutal zu erzwingen. Wir haben für diesen Bericht ein Kopfgeld von 27.200 US-Dollar vergeben“, sagte Meta in einem Bericht im Dezember.