یک باگ جدید در سیستم احراز هویت دو مرحلهای فیس بوک توسط یک محقق نپالی کشف شد که به وسیله آن هکرها میتوانستند به شماره موبایل کاربر دست یابند و قابلیت احراز هویت را غیرفعال کنند.
به گزارش گرداب به نقل از تک کرانچ، باگی در سیستم متمرکزی که فیس بوک برای مدیریت ورود کاربران به حسابهای فیس بوک و اینستاگرام ابداع کرده بود، به هکرها اجازه میداد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دو مرحلهای حساب را خاموش کنند.
Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید Meta Account Center تعداد تلاشها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک میکند تمام حسابهای کاربری خود در شرکت متا (مانند فیس بوک و اینستاگرام) را به یکدیگر متصل کنند.
هکرها با استفاده از شماره موبایل کاربر میتوانند وارد حسابهای تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحلهای را غیرفعال میکند. این امر بسیار مهم است، زیرا هیچ محدودیتی برای تعداد تلاشهای یک کاربر برای ورود به سیستم تعیین نشده است.
هنگامیکه هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیس بوک وی متصل میشود. چنین حملهای سبب میشود متا پیامی به قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آنها غیرفعال شده و همزمان موبایل آنها به حساب کاربری فرد دیگری متصل شده است.
در این وضعیت هکر میتواند با استفاده از روش فیشینگ پسورد حساب کاربری فیس بوک را کنترل کند.
Manoz سال گذشته میلادی این باگ را در مرکز حسابهای کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.
این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.