Meta, Hesap Merkezi özelliğine giderek daha fazla odaklanıyor gibi göründüğünden, ayarları ve güvenlik bilgilerini yönetmenize ve diğer hesaplarınıza geçmek için kullanmanıza izin verdiği için bu önemli bir keşifti. Mänôz’a göre saldırı nispeten basitti; diğer kişinin iki faktörlü kimlik doğrulama için kullandığı telefon numarasını bilseydiniz, kendi hesabınıza bağlayabilir ve bu da kurbanın hesabını kaldırabilirdi.
Bunu engellemesi gereken şey, diğer kişinin erişiminiz olmayan hesabına veya telefon numarasına gönderilen altı haneli bir kimlik doğrulama kodudur. (Yapsaydınız, bir açıktan yararlanmaya ihtiyacınız olmazdı.) Bununla birlikte, Mänôz’un bulduğu hata, bir saldırganın bu kodu istediği kadar tahmin etmesine izin verdi – bu görevi yapmak için bir program veya komut dosyası ayarlayın ve sonunda doğru tahmin edecektir.
En kötü senaryoda (yöntemin, kişinin iletişim bilgilerini tamamen veya kısmen doğrulayıp onaylamadığına bağlı olarak farklı etkileri oldu), bu, kurbanın hesabındaki 2FA’yı tamamen kapatırdı. Hesap Merkezi üzerinden çalışıyor olması, diğer bazı güvenlik önlemlerini de geçersiz kıldı; Mänôz’un gönderisine göre, Facebook genellikle hesabınıza zaten kayıtlı bir e-posta adresi eklemenize izin vermezdi, ancak bu yöntem bunu atladı.
Meta sorunu nispeten hızlı bir şekilde çözmüş görünüyor. Mänôz bunu 14 Eylül 2022’de bildirdi ve şirketin güvenlik ekibi bunu nasıl test edeceğini gerçekten anladıktan sonra Ekim ortasına kadar sorunla ilgilenildi. (Mänôz’a göre Hesap Merkezi, ekibin hesapları için kullanıma sunmamıştı ve Mänôz, test edebilmeleri için onlara kimlik bilgilerini verdikten sonra Mänôz’un hesabından kayboldu.) Meta, Mänôz’a sorunu bildirdiği için 27.200 dolarlık bir ödül ödedi. konu. Meta, hatanın etkisi hakkında kayıt altına alınmış bir açıklama sağlamadı, ancak sözcü Gabby Curtis söylenmiş TechCrunch küçük bir genel test sırasında yakalandığını ve düzeltilmeden önce kötüye kullanıldığına dair kanıt bulunmadığını söyledi.
Düzeltme 30 Ocak 15:50 ET: Bu makalenin önceki bir sürümü, hatanın e-posta tabanlı iki faktörlü kimlik doğrulamayı etkilediğini belirtmişti, ancak Meta sözcüsü Gabby Curtis, bunun yalnızca SMS tabanlı 2FA’yı etkilediğini söylüyor. Hata için üzgünüz.
Güncelleme 30 Ocak 15:50 ET: Hatanın istismar edilmiş gibi görünmediğini not etmek için güncellendi.
