Meta i dha një çmim prej 27,200 dollarësh një studiuesi nepalez që zbuloi një dobësi në Qendrën e Llogarive. Problemi është rregulluar nga kompania Menlo Park, më pas janë zbuluar detajet e defektit.
Defekti i vërtetimit me dy faktorë
Ndër veçoritë e sigurisë së Facebook ka ato që ju lejojnë të aktivizoni vërtetimin me dy faktorë (2FA). Kur përdoruesi hyn në rrjetin social, ai duhet të konfirmojë identitetin e tij duke futur kodin gjashtëshifror të marrë me SMS. Qendra e Menaxhimit të Llogarisë ju lejon të shtoni numrin e telefonit që do të përdoret nga të gjitha llogaritë (Facebook dhe Instagram) për dërgimin e 2 kodeve FA.
Dobësia ishte për shkak të mungesës së një kufiri për përpjekjet për futjen e kodit. Në thelb, një sulmues mund të detyrojë kodin gjashtëshifror dhe ta përdorë atë për të konfirmuar se numri i telefonit të viktimës ishte shtuar në llogarinë e sulmuesit. Më pas Facebook i dërgon viktimës një email duke e informuar se vërtetimi me dy faktorë është çaktivizuar sepse numri i telefonit është lidhur me një llogari tjetër.
Problemi u rregullua në mesin e tetorit 2022. Një zëdhënës i Meta theksoi se, kur studiuesi raportoi defektin, sistemi i identifikimit përmes Qendrës së Llogarive ishte ende në fazën e testimit. Në çdo rast, nuk u zbuluan sulme (shfrytëzimi) që shfrytëzonin cenueshmërinë.
Discussion about this post