Meta* выплатила багхантеру-новичку 27 тыс. долларов за найденную уязвимость

Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации (2FA, или двухфакторная аутентификация, — это метод дополнительной защиты аккаунта, который помимо пароля требует ввод дополнительного кода или подтверждения при входе. Это может быть код, отправленный на мобильный телефон или электронную почту, или код, полученный с помощью мобильного приложения-аутентификатора. Это добавляет дополнительный слой безопасности, поскольку для входа нужно иметь не только пароль, но и устройство или доступ к электронной почте или мобильному телефону.

Метод позволяет защитить аккаунт от несанкционированного доступа, даже если кто-то узнает ваш пароль.

» data-html=»true» data-original-title=»2FA»>2FA) разработчики упустили из виду вопиющую ошибку.

Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и

Instagram – это бесплатная программа, предназначенная для того, чтобы пользователи могли делиться с миром своими фотографиями. Instagram был запущен в октябре 2010 года.

Instagram принадлежит Meta, признанной экстремистской в РФ.

» data-html=»true» data-original-title=»Instagram»>Instagram, вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.

Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.

Тогда Менез организовал Атака полным перебором — это метод проб и ошибок, используемый прикладными программами для декодирования регистрационной информации и ключей шифрования, чтобы использовать их для получения несанкционированного доступа к системам.

Атаки грубой силы просты и надежны. Всю работу за злоумышленника выполняет компьютер — например, перебирает разные комбинации имен пользователей и паролей — пока не найдется подходящая. Поймать и нейтрализовать атаку методом грубой силы — лучшая защита: как только злоумышленники получат доступ к сети, их будет гораздо труднее поймать.

» data-html=»true» data-original-title=»Брутфорс»>брутфорс-атаку на страницу авторизации и успешно подобрал код двухфакторной аутентификации. Таким образом можно привязать любой существующий номер телефона к своему профилю.

Интересен ещё и тот факт, что после привязки номера к аккаунту Meta, от существующего аккаунта Facebook или Instagram номер телефона отвязывался, а двухфакторная аутентификация отключалась. Отключение 2FA резко снижает уровень безопасности аккаунта. Попасть в такой аккаунт злоумышленникам гораздо быстрее и проще.

Уведомление Facebook об отключении 2FA и отвязке номера телефона

«По сути, наибольшим эффектом при использовании этой уязвимости является отключение настроенной двухфакторной аутентификации с помощью одного только номера телефона жертвы», — сообщил Менез.

В сентябре Meta исправила уязвимость, ещё до публичной огласки. Воспользоваться ей не успел никто кроме самого Менеза. Несмотря на не очень серьёзный характер уязвимости, новоиспеченного багхантера наградили щедрой выплатой в размере 27 тысяч долларов. Видимо, представители Meta решили замотивировать этой историей других начинающих специалистов в сфере кибербезопасности.

* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями, их деятельность запрещена на территории РФ.

Источник