E se você ganhesse 100 mil apenas por encontrar uma falha de segurança?
- MundoZ! Tecnologia
- Atualizado: Segunda, 30 Janeiro 2023 21:38
- Views: 112
Foi o que aconteceu em setembro do ano passado quando um pesquisador independente do Nepal encontrou uma falha de segurança, chamada de bug pelos programadores, que permitia burlar o 2FA do Facebook.
O 2FA é um sistema de dupla verificação de senha usada justamente para tentar impedir que hackers possam invadir sistemas da internet. Um bug no novo sistema centralizado criado pela Meta para os usuários poderem gerenciar dados logins no Facebook e Instagram pode ter permitido que hackers desligassem a verificação de dois fatores de uma conta do Facebook apenas usando o endereço de e-mail ou número de telefone da vítima.
Um pesquisador de segurança do Nepal chamado Gtm Mänôz, apurou que o novo sistema da Meta não estabelecia um limite de tentativas de login. Isso ocorria quando um usuário inseria o código de dois fatores usado para fazer login em sua conta no novo 'Meta Accounts Center'. Em tese o novo sistema deveria ajudar os usuários a unir todas as suas contas da Meta, como Facebook e Instagram.
Com o número do telefone ou o endereço de e-mail do usuário, um hacker poderia acessar o 'centro de contas centralizado', e em seguida inserir o número de telefone da vítima. Na sequência ele poderia vincular esse número à sua própria conta do Facebook obtendo o código SMS de dois fatores.
Este era o procedimento básico para explorar a falha de segurança, porque não havia limite máximo para o número de tentativas para logar.
Depois que o invasor acertava o código, o número de telefone da vítima era vinculado à conta do hacker no Facebook. Um ataque bem-sucedido ainda resultaria na Meta enviando uma mensagem para a vítima. A mensagem informava que seu fator duplo de segurança havia sido desativado porque seu número de telefone foi vinculado à conta de outra pessoa.
“Basicamente, o maior impacto no teste que fiz foi desativar o 2FA usado com SMS de qualquer usuário apenas usando o número de telefone”, disse Mänôz.
Um print da tela de um e-mail enviado pela Meta para um usuário diz:
"Informamos que o seu número de telefone foi usado e verificado por outra pessoa no Facebook".
Nessa fase, em tese, o hacker poderia controlar a conta do Facebook da vítima usando um phishing para obter a senha, visto que a vítima não tinha mais o recurso de dois fatores ativado.
Veja também
- Segurança no Facebook. Como evitar ser hackeado.
Mänôz encontrou o bug no sistema 'Meta Accounts Center' ainda no ano passado e informou à empresa em meados de setembro. A Meta ainda levou um mês para corrigir a falha e pagou a Mänôz o valor de 27.200 dólares por relatar o problema.
Não ficou claro se algum hacker tenha encontrado a falha antes que o Facebook pudesse corrigir.
...