یک باگ جدید در سیستم احراز هویت دو مرحله ای فیس بوک توسط یک محقق نپالی کشف شد که به وسیله آن هکرها می توانستند به شماره موبایل کاربر دست یابند و قابلیت احراز هویت را غیرفعال کنند.

به گزارش خبرگزاری مهر به نقل از تک کرانچ، باگی در سیستم متمرکزی که فیس بوک برای مدیریت ورود کاربران به حساب های فیس بوک و اینستاگرام ابداع کرده بود، به هکرها اجازه می داد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دو مرحله ای حساب را خاموش کنند.

Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید Meta Account Centerتعداد تلاش ها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک می کند تمام حساب های کاربری خود در شرکت متا ( مانند فیس بوک و اینستاگرام) را به یکدیگر متصل کنند.

هکرها با استفاده از شماره موبایل کاربر می توانند وارد حساب های تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله ای را غیرفعال می کند. این امر بسیار مهم است زیرا هیچ محدودیتی برای تعداد تلاش های یک کاربر برای ورود به سیستم تعیین نشده است.

هنگامیکه هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیس بوک وی متصل می شود. چنین حمله ای سبب می شود متا پیامی به قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آنها غیرفعال شده و همزمان موبایل آنها به حساب کاربری فرد دیگری متصل شده است.

در این وضعیت هکر می تواند با استفاده از روش فیشینگ پسورد حساب کاربری فیس بوک را کنترل کند.

Manoz سال گذشته میلادی این باگ را در مرکز حساب های کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.

این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.

برچسب‌ها