یک محقق نپالی باگی جدید در سیستم احراز هویت دومرحلهای فیسبوک کشف کرد که باعث میشود مهاجمان به شماره موبایل کاربران دسترسی پیدا کنند.
منبع : خبرگزاری مهر
مهر: یک محقق نپالی باگی جدید در سیستم احراز هویت دومرحلهای فیسبوک کشف کرد که باعث میشود مهاجمان به شماره موبایل کاربران دسترسی پیدا کنند.
به گزارش افتانا، باگی در سیستم متمرکزی که فیسبوک برای مدیریت ورود کاربران به حسابهای فیسبوک و اینستاگرام ابداع کرده بود، به هکرها اجازه میداد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دومرحلهای حساب را خاموش کنند.
Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید مرکز حساب متا (Meta Account Center) تعداد تلاشها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک میکند تمام حسابهای کاربری خود در شرکت متا ( مانند فیسبوک و اینستاگرام) را به یکدیگر متصل کنند.
هکرها با استفاده از شماره موبایل کاربر میتوانند وارد حسابهای تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله ای را غیرفعال میکند. این امر بسیار مهم است زیرا هیچ محدودیتی برای تعداد تلاشهای یک کاربر برای ورود به سیستم تعیین نشده است.
هنگامیکه هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیسبوک وی متصل میشود. چنین حملهای سبب میشود متا پیامیبه قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آنها غیرفعال شده و همزمان موبایل آنها به حساب کاربری فرد دیگری متصل شده است.
در این وضعیت هکر میتواند با استفاده از روش فیشینگ پسورد حساب کاربری فیسبوک را کنترل کند.
Manoz سال گذشته میلادی این باگ را در مرکز حسابهای کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.
این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.