Uma falha em um novo sistema centralizado que a Meta desenvolveu para os usuários gerenciarem seus logins do Facebook e Instagram pode ter possibilitado que hackers mal-intencionados desabilitassem as proteções de dois fatores de uma conta simplesmente obtendo o número de telefone do titular da conta.
O pesquisador de segurança nepalês Gtm Mänôz descobriu que, quando um usuário insere o código de dois fatores usado para fazer login em suas contas no novo Meta Accounts Center, que auxilia os usuários a vincular todas as suas contas Meta, incluindo Facebook e Instagram, o Meta não definiu um limitar o número de tentativas que eles poderiam fazer.
Um invasor usaria o número de telefone da vítima para inserir o número de telefone da vítima no centro de contas centralizado, vincular esse número à sua própria conta do Facebook e, em seguida, aplicar força bruta ao código SMS de dois fatores. Como não havia limite para o número de tentativas que poderiam ser feitas, esse era o passo mais importante.
O número de telefone da vítima foi vinculado à conta do Facebook do invasor assim que o invasor decifrou o código com sucesso. Mesmo que o ataque fosse bem-sucedido, a Meta ainda enviaria à vítima uma mensagem informando que sua autenticação de dois fatores foi desativada porque seu número de telefone estava vinculado a outra conta.
De acordo com Mänôz, “essencialmente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas por saber o número de telefone”.
Dado que o alvo não tinha mais a autenticação de dois fatores habilitada, um invasor poderia, teoricamente, tentar assumir o controle da conta do Facebook da vítima por meio de phishing para obter a senha.
No ano passado, Mänôz descobriu a falha na Meta Accounts Center e denunciou à empresa em meados de setembro. Alguns dias depois, a Meta corrigiu o problema e compensou Mänôz por denunciá-lo com $ 27.200.
De acordo com Gabby Curtis, porta-voz da Meta, o sistema de login ainda estava passando por um breve teste público no momento do bug. Curtis também afirmou que a investigação da Meta sobre o bug não encontrou nenhuma evidência de exploração na natureza e nenhum aumento no uso desse recurso específico, o que indicaria que ninguém estava abusando dele. Meta também não encontrou evidências de exploração na natureza.