Podle bezpečnostního výzkumníka Gtm Mänôze, který zveřejnil informace na webu Medium.com, může být dvoufaktorová ochrana facebookového účtu jednoduše vypnuta.
Facebook obsahoval bezpečnostní mezeru
Gtm Mänôz ve svém příspěvku uvádí, že v systému správy účtů Meta Accounts Center, který slouží k vzájemnému propojení účtů na Facebooku a Instagramu, může útočník v sekci pro zadání osobních údajů zadat telefonní číslo oběti a toto číslo připojit ke svému účtu na Facebooku. Následně metodou hrubé síly si mohl vynutit ověřovací SMS kód pro ověření účtu oběti. V době, kdy byl tento problém odhalen, neexistoval limit pro počet pokusů o zadání ověřovacího kódu.
Zdroj: Bloomberg
Díky této chybě tak útočník s dostatečnou znalostí mohl deaktivovat ochranu účtu pomocí dvoufázového ověření, čímž se stal účet chráněný pouze heslem. Hesla pak bylo možné zavedenými postupy získat a útočník mohl převzít plnou kontrolu nad účtem oběti. Z dostupných informací není známo, jak dlouho tato chyba byla obsažena v systému správy účtů Meta. Gtm Mänôz uvedl, že tuto chybu objevil v rámci přípravy na vývojářskou konferenci BountyCon pořádanou společnostmi Google a Meta. Mänôz chybu nahlásil 14. září loňského roku a informace o tom, že byla opravena, přišla až 17. října.
Zdroje: techradar.com, medium.com