Notícias de dispositivos móveis, gadgets, aplicativos Android

Facebook & Instagram Falha permite que qualquer um ignore a autenticação de dois fatores

A falta de limita√ß√£o de taxa em Instagram foi descoberto por Gtm M√§n√īz, um pesquisador de seguran√ßa de Katmandu, Nepal.

Esta falha poderia ter permitido que um invasor contornasse Facebookautentica√ß√£o de dois fatores, validando os dados j√° validados do usu√°rio alvo Facebook n√ļmero de celular usando o Meta Accounts Center.

Ignorar autenticação de dois fatores ativada Facebook

O pesquisador olhou Instagrammais recente layout do ‚ÄúMeta Accounts Center‚ÄĚ e notei que a se√ß√£o ‚ÄúDados Pessoais‚ÄĚ permitia aos usu√°rios adicionar seu e-mail e n√ļmero de telefone aos seus Instagram e vinculado Facebook contas. Esta informa√ß√£o pode ent√£o ser verificada inserindo o c√≥digo apropriado 6C√≥digo de d√≠gitos recebido por e-mail ou telefone.

‚ÄúNo momento do relat√≥rio, o endpoint que verifica o 6O c√≥digo de d√≠gitos era vulner√°vel √† falta de prote√ß√£o de limite de taxa, permitindo que qualquer pessoa confirmasse e-mail e n√ļmero de telefone desconhecidos/conhecidos em Instagram e vinculado Facebook contas‚ÄĚ, o pesquisador explica.

A falta de um recurso de limita√ß√£o de taxa permitiu que um invasor adicionasse um n√ļmero de telefone j√° verificado a um alvo Facebook/Instagram conta quando M√§n√īz olhou para Instagramdo novo layout para ‚ÄúMeta Accounts‚ÄĚ.

Facebook gera um c√≥digo √ļnico ap√≥s o usu√°rio inserir seu n√ļmero de celular para confirmar sua identifica√ß√£o.

No entanto, um agente de amea√ßa pode gerar tr√°fego de bot ilimitado para lan√ßar um ataque de for√ßa bruta para validar um ataque √ļnico. Facebook PIN para vincular as contas, contornando assim Facebookprote√ß√Ķes 2FA do, devido a uma falha de limita√ß√£o de taxa em Instagramponto final.

Segundo o pesquisador, se o n√ļmero de telefone foi totalmente verificado e o 2FA foi ativado no Facebooka conta da v√≠tima n√£o teria mais 2FA habilitado.

N√≥s recomendamos:  fsociety, um pacote completo de ferramentas de hacking que um hacker precisa ‚Äď Estrutura de teste de penetra√ß√£o

Al√©m disso, se o n√ļmero de telefone tiver sido confirmado apenas parcialmente, ou seja, usado para 2FA, o 2FA ser√° revogado e o n√ļmero de telefone ser√° exclu√≠do da conta da v√≠tima.

‚ÄúBasicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o n√ļmero de telefone‚ÄĚ, de acordo com M√§n√īz.

Desde ent√£o, a Meta resolveu o problema e, como parte de seu programa de recompensas por bugs, deu a M√§n√īz US$ 27.000. Para evitar serem expostos, os usu√°rios devem atualizar seus aplicativos para a vers√£o mais recente.

Table of Contents