Meta aveva dato un premio di 27.200 dollari ad un ricercatore nepalese che ha scoperto una vulnerabilità nel Centro di gestione account (Accounts Center). Il problema è stato risolto dall’azienda di Menlo Park, quindi sono stati divulgati i dettagli del bug.
Bug nell’autenticazione in due fattori
Tra le funzionalità di sicurezza di Facebook c’è quelle che permette di attivare l’autenticazione in due fattori (2FA). Quando l’utente effettua l’accesso al social network deve confermare la sua identità inserendo il codice di sei cifre ricevuto via SMS. Il Centro gestione account consente di aggiungere il numero di telefono che verrà utilizzato da tutti gli account (Facebook e Instagram) per l’invio dei codici 2FA.
La vulnerabilità era dovuta all’assenza di un limite per i tentativi di inserimento del codice. In pratica, un cybercriminale poteva usare la tecnica “brute-force” per trovare il codice di sei cifre e usarlo per confermare l’aggiunta del numero di telefono della vittima all’account del malintenzionato. Facebook invia quindi alla vittima un’email per informarlo che l’autenticazione in due fattori è stata disattivata perché il numero di telefono è stato associato ad un altro account.
Il problema è stato risolto a metà ottobre 2022. Un portavoce di Meta ha sottolineato che, quando il ricercatore ha segnalato il bug, il sistema di login tramite Accounts Center era ancora in fase di test. In ogni caso non sono stati rilevati attacchi (exploit) che hanno sfruttato la vulnerabilità.