Исследователь информационной безопасности из Непала Джитм Маноз (Gtm Manoz) обнаружил в системе двухфакторной авторизации Meta (признана в России экстремистской и запрещена) уязвимость, которая позволяет обходить этот важный рубеж защиты. Об этом сообщает издание TechCrunch.
В экосистеме Meta есть сервис Meta Accounts Center, который позволяет объединять аккаунты в Facebook, Instagram (владелец компания Meta признана в России экстремистской и запрещена) и других проектах корпорации. В нем можно настроить не только общие параметры входа, но и другие функции вроде кросс-сервисной публикации контента.
Как и в других сервисах Meta, в Meta Accounts Center есть двухфакторная авторизации. Однако она отличается тем, что между попытками ввода шестизначного кода подтверждения из SMS или e-mail в ней нет таймаута.
Таким образом, зная логин и пароль жертвы, а также ее номер телефона, злоумышленник может перейти на страницу Meta Accounts Center, ввести чужие данные и заняться брутфорсом (подбором нужной комбинации методом перебора, – прим. ред.) проверочного кода с помощью специального бота. Подобрав нужный код, хакер может получить доступ ко всем сервисам жертвы в экосистеме Meta.
Джитм Маноз обнаружил ошибку и сообщил о ней еще летом 2022 года. Корпорация исправила проблему в октябре. В 2023 году Маноз и IT-гигант выпустили совместный отчет, в котором раскрыли подробности о механизмах уязвимости. Корпорация выплатила исследователю вознаграждение в размере $27,2 тыс. (примерно 1,9 млн руб. по курсу на 31 января 2023 года).
Ранее «Газета.Ru» писала о том, что Facebook обвинили в тайной разрядке смартфонов своих пользователей.
* владелец компания Meta признана в России экстремистской и запрещена