Facebook‘un iki faktörlü kimlik doğrulama sistemindeki bir hata, siber suçluların mekanizmayı devre dışı bırakmasına ve yalnızca kurbanların telefon numarasıyla platformdaki hesapları çalmasına olanak tanıdı. Söz konusu açık Nepal’den bir uzman tarafından keşfedildi.
Sorun, Meta’nın kısa süre önce kullanıma sunduğu ve holdingin platformlarında aynı kullanıcıya ait tüm hesapları birbirine bağlamanıza olanak tanıyan Account Central’ı etkiledi. Güvenlik araştırmacısı Gtm Mänôz’a göre şirket, kayıtlı numaraya gönderilen kimlik doğrulama kodunu doğrulamak için bir deneme sınırı belirlememiş.
Ayrıca bkz: Girişimciler İçin İnternet Bağlantısının Önemi Nedir?
Bu şekilde, saldırganın sadece hedefin telefon numarasını bilmesi, giriş bağlantı sistemine gitmesi ve numarayı kendi hesabıyla ilişkilendirerek ekstra korumayı devre dışı bırakması gerekecek. Daha sonra bir oltalama saldırısı yoluyla hedef profilin şifresini ele geçirmeye çalışabilir.
Mänôz, ikinci koruma faktörünün devre dışı bırakılmasının ancak prosedürü gerçekleştirmek için bir deneme sınırı belirlenmemesi sayesinde mümkün olduğunu söyledi. Test sırasında platform, telefonunun başka birinin hesabına bağlanmasının ardından özelliğin artık etkin olmadığını bildiren bir e-posta gönderdi.
Meta’nın Account Central’ındaki açık geçen yılın Eylül ayı ortasında keşfedildi. Araştırmacı o dönemde güvenlik açığını şirkete bildirmiş ve ödül olarak 27.000 dolardan fazla para almıştır ki bu da bugünkü değerlerle 138.100 dolara denk gelmektedir.
Güvenlik açığı rapordan kısa bir süre sonra düzeltildi ve kötü niyetli olarak kullanıldığına dair bir kanıt yok, çünkü o sırada özellik beta aşamasındaydı ve kullanıcıların küçük bir kısmı tarafından kullanılabiliyordu. Şirket ayrıca hatanın yalnızca Facebook hesaplarını etkilediğini söyledi.