Analitičar bezbednosti u sajber svetu poznat po nadimku GTM Manoz shvatio je da inženjeri kompanije Meta nisu jasno definisali broj pokušaja unošenja koda prilikom dvofaktorske autentifikacije. Ovakav bezbednosni postupak upotrebljava se prilikom prijave korisnika u okviru novog Meta Accounts centra, što rezultuje propustom koji omogućava lako hakovanje Facebook šifre.
Inicijalni cilj novog servisa bio je povezivanje jedinstvenih naloga na društvenim mrežama Facebook i Instagram.
Hakeru je za prevaru dovoljno da zna broj telefona žrtve. Broj se unosi u predviđeno polje koje se nalazi u okviru Meta Accounts centra, a potom ga haker povezuje sa sopstvenim Facebook nalogom. Zatim pokušava da dobije pristup nasumičnim upisom koda za dvostruku autentifikaciju. Ovaj korak u obmani je ključan, jer Meta inženjeri nisu ograničili broj pokušaja upisa koda koje bi haker mogao napraviti.
Propust koji omogućava lako hakovanje Facebook šifre
Kada haker pogodi validni kod (bez obzira koliko ovaj postupak može trajati), telefon žrtve je povezan sa Facebook nalogom napadača. Meta će tada obavestiti oštećenog korisnika da je dvostruka autentifikacija nemoguća, jer je broj telefona korisnika povezan sa tuđim nalogom. Kasniji rasplet događaja može biti veoma neizvestan, jer korisnik više nema kontrolu nad svojim profilom, piše TechCrunch.
„U suštini, glavni korak u hakovanju naloga bio je raskid veze između broja telefona i Facebook naloga zasnovan na dvofaktorskoj autentifikaciji“, objašnjava Manoz.
Posle uspešnog izvođenja glavnog koraka, napadač bi mogao da preuzme nalog žrtve fišingom, pri čemu bi prevarom naterao korisnika da otkrije lozinku. Tada bi profil prevarenog Facebook korisnika potpuno došao u posed hakera.
Meta ceni upozorenja o hakerskim trikovima
Facebook se tokom proteklih godina suočavao sa sličnim problemima. Manoz je grešku Meta Accounts centra pronašao prošle godine, da bi je prijavio kompaniji sredinom septembra. Inženjeri su ispravili propust nekoliko dana kasnije i platili Manozu 27.200 dolara, jer je ukazao na ozbiljan bezbednosni problem. Ova suma je daleko manja od potencijalne ucene koje svakodnevno dobijaju najmoćnije kompanije na svetu.
Portparolka kompanije Gebi Kurtis kaže da je tokom kritičnog perioda, sistem prijavljivanja bio u fazi javnog testiranja. Kurtis dodaje i da Metina istraga posle otkrivanja baga odbacuje dokaze o masovnom hakovanju naloga, što dalje upućuje da propust sa dvostrukom autentifikacijom nije kompromitovao korisnike. Njene reči se mogu protumačiti kao dobro upakovani krizni PR, ali sigurno je da će zlonamerni korisnici i dalje isprobavati različite načine za hakovanje naloga na društvenim mrežama.