Falha no Facebook e Instagram permite ignorar autenticação 2FA

fev12023

Falta de um recurso de limitação de taxa permitiu que um invasor adicionasse um número de telefone já verificado a uma conta alvo do Facebook ou Instagram usando o Meta Accounts Center

Uma falha no Facebook e no Instagram permite ignorar a autenticação de dois fatores (2FA). A falta de um recurso de limitação de taxa foi descoberta por Gtm Mänôz, um pesquisador de segurança de Kathmandu, no Nepal, e permitiu que um invasor adicionasse um número de telefone já verificado a uma conta alvo do Facebook ou Instagram usando o Meta Accounts Center.

O pesquisador analisou o layout mais recente do Meta Accounts Center do Instagram e notou que a seção “Detalhes pessoais” permitia aos usuários adicionar seu e-mail e número de telefone ao Instagram e às contas vinculadas do Facebook. Essas informações podem ser verificadas inserindo o código de seis dígitos apropriado recebido por e-mail ou telefone.

“O endpoint que verificava o código de seis dígitos era vulnerável à falta de proteção de limite de taxa, permitindo que qualquer pessoa confirmasse e-mail e número de telefone desconhecidos/conhecidos tanto no Instagram quanto em contas vinculadas do Facebook”, explicou o pesquisador.

O Facebook gera um código único depois que o usuário insere seu número de celular para confirmar sua identificação. No entanto, um operador de ameaça pode gerar tráfego de bot ilimitado para lançar um ataque de força bruta para validar um PIN único do Facebook para vincular as contas, ignorando as proteções 2FA, devido justamente à falha de limitação de taxa no endpoint do Instagram.

Segundo o pesquisador, se o número de telefone fosse totalmente verificado e o 2FA fosse ativado no Facebook, a conta da vítima não teria mais a autenticação de dois fatores ativada. Além disso, se o número de telefone foi confirmado apenas parcialmente, ou seja, usado para 2FA, o 2FA será revogado e o número de telefone será excluído da conta da vítima. “Basicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o número de telefone”, disse Mänôz.

Após a revelação do pesquisador, a Meta resolveu o problema e, como parte de seu programa de recompensas por bugs pagou US$ 27 mil a Mänôz.

Para evitar a exposição, os usuários devem atualizar seus aplicativos para a versão mais recente.

Fonte:
https://www.cisoadvisor.com.br/falha-no-facebook-e-instagram-permite-ignorar-autenticacao-2fa/

Categories: Rede Social, Segurança da InformaçãoPor Juliana Rossi 1 de fevereiro de 2023 Deixe um comentário

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Falha no Facebook e Instagram permite ignorar autenticação 2FA

Últimas publicações relacionadas

Deixe um comentário Cancelar resposta