Facebook: bug consentiva di aggirare la protezione 2FA

Facebook: bug consentiva di aggirare la protezione 2FA

Un bug nel Centro di gestione account permetteva di aggirare l'autenticazione in due fattori con il codice a sei cifre scoperto tramite brute-force.
Facebook: bug consentiva di aggirare la protezione 2FA
Un bug nel Centro di gestione account permetteva di aggirare l'autenticazione in due fattori con il codice a sei cifre scoperto tramite brute-force.

Meta aveva dato un premio di 27.200 dollari ad un ricercatore nepalese che ha scoperto una vulnerabilità nel Centro di gestione account (Accounts Center). Il problema è stato risolto dall’azienda di Menlo Park, quindi sono stati divulgati i dettagli del bug.

Bug nell’autenticazione in due fattori

Tra le funzionalità di sicurezza di Facebook c’è quelle che permette di attivare l’autenticazione in due fattori (2FA). Quando l’utente effettua l’accesso al social network deve confermare la sua identità inserendo il codice di sei cifre ricevuto via SMS. Il Centro gestione account consente di aggiungere il numero di telefono che verrà utilizzato da tutti gli account (Facebook e Instagram) per l’invio dei codici 2FA.

La vulnerabilità era dovuta all’assenza di un limite per i tentativi di inserimento del codice. In pratica, un cybercriminale poteva usare la tecnica “brute-force” per trovare il codice di sei cifre e usarlo per confermare l’aggiunta del numero di telefono della vittima all’account del malintenzionato. Facebook invia quindi alla vittima un’email per informarlo che l’autenticazione in due fattori è stata disattivata perché il numero di telefono è stato associato ad un altro account.

Il problema è stato risolto a metà ottobre 2022. Un portavoce di Meta ha sottolineato che, quando il ricercatore ha segnalato il bug, il sistema di login tramite Accounts Center era ancora in fase di test. In ogni caso non sono stati rilevati attacchi (exploit) che hanno sfruttato la vulnerabilità.

Fonte: TechCrunch
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
31 gen 2023
Link copiato negli appunti