A hackereknek egy hiba miatt csak az áldozat telefonszámát kellett ismerniük, így kikapcsolhatták nála a kétfaktoros hitelesítést a Fiókközpontban. Ez pedig megkönnyíthette a hozzáférést az olyan profilokhoz, mint a Facebook vagy az Instagram. A hibára egy nepáli biztonsági kutató figyelt fel, írja TECH rovatában a hvg.hu.
A kétlépcsős hitelesítés egy extra védelmi réteg, melynek segítségével megnehezíthetjük az illetéktelenek belépését a profilunkba. Ez a gyakorlatban úgy néz ki, hogy a felhasználónév és e-mail-cím párosának begépelése után még szükséges egy kód megadása is, melyet SMS-ben vagy egy hitelesítő alkalmazásból kaphatunk meg – sőt, olyan szolgáltatások is vannak már, melyeknél egy fizikai hardverkulcs segítségével azonosíthatjuk magunkat.
Mint az élet legtöbb területén, úgy az informatikában is igaz, hogy semmi sem tökéletes: még a kétlépcsős hitelesítés is lehet hibás, mint az a Facebookot és az Instagramot is tulajdonló Metánál is történt. Egy hiba miatt ugyanis a fenti két szolgáltatást egyben kezelő Fiókközponthoz (Accounts Center) mindössze egy telefonszám ismerete is elegendő lehetett ahhoz, hogy illetéktelenek kiiktassák ezt az extra védelmi réteget.
A hibára a TechCrunch beszámolója szerint Gtm Mänôz, egy nepáli biztonsági kutató figyelt fel. Ő arra jött rá, hogy a Meta a Fiókközpontban nem állított be felső korlátot a próbálkozások számára, tehát bármennyi hitelesítőkód-formációt beírhattak illetéktelenek – addig, amíg nem találták el.
Az áldozat telefonszámának ismeretében a támadó a Fiókközpontban beírhatta a telefonszámot, hozzákapcsolhatta a saját (a támadó) Facebook-fiókját, majd egy brute force nevű technikával „kitalálhatta” azt az SMS-kódot, ami az áldozat telefonjára érkezett. Ez a megoldás gyakorlatilag minden lehetséges kódverziót végigpróbál, és jellemzően sikerre vezet – jelen esetben azért volt rá mód, mert nem volt korlátozva a próbálkozások száma.
Amint a művelet sikerrel zárult, az áldozat telefonszáma már a támadó fiókjához volt rendelve, ami azt eredményezte, hogy az áldozat fiókjánál kikapcsolódott a kétfaktoros hitelesítés – megkönnyítve a fiók feltörését, amihez már csak a jelszót kellett kitalálni.
Gtm Mänôz még tavaly bukkant a hibára, és jelezte azt a Metának, amiért 27 000 dolláros (körülbelül 9 millió 691 ezer forintos) honoráriumban részesült. A cég néhány nap alatt javította a hibát.
Gabby Curtis, a Meta szóvivője a TechCrunch érdeklődésére elmondta: a hiba észlelésekor a Fiókközpont még egy kisebb nyilvános tesztelési fázisban volt, és nincs jele annak, hogy kihasználták volna a sérülékenységet.