Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации (2FA) разработчики упустили из виду вопиющую ошибку.
Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и Instagram, вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.
Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.
Тогда Менез организовал брутфорс-атаку на страницу авторизации и успешно подобрал код двухфакторной аутентификации. Таким образом можно привязать любой существующий номер телефона к своему профилю.
Интересен ещё и тот факт, что после привязки номера к аккаунту Meta, от существующего аккаунта Facebook или Instagram номер телефона отвязывался, а двухфакторная аутентификация отключалась. Отключение 2FA резко снижает уровень безопасности аккаунта. Попасть в такой аккаунт злоумышленникам гораздо быстрее и проще.
Уведомление Facebook об отключении 2FA и отвязке номера телефона
“По сути, наибольшим эффектом при использовании этой уязвимости является отключение настроенной двухфакторной аутентификации с помощью одного только номера телефона жертвы”, – сообщил Менез.
В сентябре Meta исправила уязвимость, ещё до публичной огласки. Воспользоваться ей не успел никто кроме самого Менеза. Несмотря на не очень серьёзный характер уязвимости, новоиспеченного багхантера наградили щедрой выплатой в размере 27 тысяч долларов. Видимо, представители Meta решили замотивировать этой историей других начинающих специалистов в сфере кибербезопасности.
* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями, их деятельность запрещена на территории РФ.