Eylül 2022 gibi geç bir tarihte, Meta’nın merkezi hesap yönetimi sistemindeki bir hata, tehdit aktörlerinin 2FA sadece bir hesaba bağlı telefon numarasını bilerek Facebook hesapları için korumalar.
göre bir Orta yazı (yeni sekmede açılır)(üzerinden TechCrunch (yeni sekmede açılır)), güvenlik araştırmacısı Gtm Mänôz, Meta Hesap Merkezi (yeni sekmede açılır) Facebook ve Instagram hesaplarını bağlamak için tasarlanmış hesap yönetim sistemi, bir saldırgan kurbanın telefon numarasını girebilir, numarayı kendi Facebook hesabına bağlayabilir ve ardından, belirlenmiş bir üst sınır olmadığı için kurbanın hesabı için 2FA SMS kodunu kaba kuvvetle gönderebilir kod girişi girişimleri için.
Başarılı bir girişimin ardından, kurbanların 2FA’ları devre dışı bırakılır ve hesapları yalnızca bir parolayla korunur. e-dolandırıcılık veya sosyal mühendislik saldırı, özel bir tehdit aktörü tarafından kolayca geri alınabilir.
Mänôz, Medium gönderisinde, hatayı Meta ve Google tarafından ortaklaşa düzenlenen bir güvenlik araştırmacısı konferansı olan BountyCon’a hazırlanırken, yalnızca Meta Hesap Merkezi’nde “yeni görünümlü bir kullanıcı arayüzü” oluşturarak bulduğunu iddia etti.
O da iddia etti, çünkü bitiş noktaları Instagram ve Facebook hesaplarındaki e-posta adreslerinin ve telefon numaralarının aynı olduğunu doğrulamak, zaten hesaplara eklenmiş olan iletişim noktaları için doğrulama atlanabilir ve bu da hatayı mümkün kılar.
Hatanın Meta Hesap Merkezi’nin 2FA sisteminin Facebook bölümünde ne kadar süredir etkin olduğu bilinmemekle birlikte, bir aydan biraz uzun bir süre sonra Mänôz’un Meta’ya bir hata raporu göndermesiyle bir düzeltme ortaya çıktı ve bir düzeltme kendisine onaylandı. 17 Ekim
Meta’nın kendisi şu hatadan bahsetmişti: Bug Bounty Programının 2022 özeti (yeni sekmede açılır)Mänôz’un çabaları için 27.200 $ ile ödüllendirildiğini belirtti.
