Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации (2FA, или двухфакторная аутентификация, — это метод дополнительной защиты аккаунта, который помимо пароля требует ввод дополнительного кода или подтверждения при входе. Это может быть код, отправленный на мобильный телефон или электронную почту, или код, полученный с помощью мобильного приложения-аутентификатора. Это добавляет дополнительный слой безопасности, поскольку для входа нужно иметь не только пароль, но и устройство или доступ к электронной почте или мобильному телефону.
Метод позволяет защитить аккаунт от несанкционированного доступа, даже если кто-то узнает ваш пароль.
» data-html=»true» data-original-title=»2FA»>2FA) разработчики упустили из виду вопиющую ошибку.
Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и
Instagram – это бесплатная программа, предназначенная для того, чтобы пользователи могли делиться с миром своими фотографиями. Instagram был запущен в октябре 2010 года.
Instagram принадлежит Meta, признанной экстремистской в РФ.
» data-html=»true» data-original-title=»Instagram»>Instagram, вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.
Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.
Тогда Менез организовал Атака полным перебором — это метод проб и ошибок, используемый прикладными программами для декодирования регистрационной информации и ключей шифрования, чтобы использовать их для получения несанкционированного доступа к системам.
Атаки грубой силы просты и надежны. Всю работу за злоумышленника выполняет компьютер — например, перебирает разные комбинации имен пользователей и паролей — пока не найдется подходящая. Поймать и нейтрализовать атаку методом грубой силы — лучшая защита: как только злоумышленники получат доступ к сети, их будет гораздо труднее поймать.