A Meta az utóbbi időben sok energiát fektetett abba, hogy kifejlessze azt a Fiókközpontot, ahol a felhasználók az általuk felügyelt összes Facebook és Instagram fiókot tudják kezelni. Ez alapvetően egy jó dolog, egészen addig, amíg nem arról szólnak a hírek, hogy még a kétfaktoros beléptetést is ki lehetett játszani, ha a hackerek szerettek volna egy fiókba bejutni.
Egy nepáli biztonsági elemző, Gtm Mänôz fedezte fel a platformon azt a hibát, amivel kiberbűnözők egyszerűen visszaélhettek. A sebezhetőségről a szakember részletesen írt nemrégiben, de szerencsére már az egész történetről múlt időben beszélhetünk, mivel még tavaly fedezte fel Mänôz a hibát, amit a Meta mostanra ki is javított. Az elemző addig nem tárta fel, hogy mi történt, ameddig a platform szakemberei nem hárították el a hibát.
A sebezhetőséget kihasználva egyszerűbben hozzá lehetett férni a Facebook és Instagram felhasználói fiókokhoz. A támadó minden beállítási lehetőséghez elérést szerezhetett, biztonsági információkat tulajdoníthatott el, és akár teljesen átvehette a kontrollt a fiók felett. A jelszó cseréjével megszerezhette az uralmat a felhasználó Facebook és Instagram profilja felett egyaránt. Hiába védte kétlépcsős hitelesítés a fiókot, ki lehetet játszani a rendszert brute force támadással.
Arról ír Mänôz, hogy ha ismerte a felhasználó telefonszámát a fiókot feltörni készülő kiberbűnöző, akkor onnantól viszonylag egyszerű dolga volt. Ezt ugyanis ki tudta kapcsolni olyan módon, hogy megadta a telefonszámot a saját fiókjánál. Ezt pedig úgy tudta feltűnésmentesen megtenni, hogy a telefonszám beállításakor végtelen mennyiségben lehetett próbálkozni a hat számjegyű biztonsági kód megadásával. A brute force sikeres alkalmazását követően a mobilszám, amit az áldozat használt, hozzá lett kapcsolva az elkövető fiókjához. Mivel egy szám nem lehet két fiókhoz linkelve, így az áldozat fiókjánál a rendszer egyszerűen kikapcsolta a kétlépcsős hitelesítést.
A hitelesítési kóddal való próbálkozások számát a Metának erősen limitálnia kellett volna, de ez valamilyen oknál fogva kimaradt, és így jutott komoly támadási lehetőséghez az elkövető. A belépéshez már elég volt például adathalászással megszerezni a mezei jelszót, és zöld utat kapott, miután kikapcsolta a kétfaktoros beléptetést.
A beszámoló szerint a Meta néhány napon reagált Mänôz hibajelzésére, és viszonylag gyorsan javították is a problémát. A sebezhetőség feltárásáért a biztonsági szakember pénzjutalomban részesült, mivel a Metának évek óta komoly bug bounty programja is van. 27 200 dollár ütötte hírünk főhősének a markát.
Gabby Curtis, a Meta szóvivője elmondta, hogy amikor ezt a hibát felfedezték szeptember közepén, akkor még viszonylag kevesen használták a Meta új Fiókközpontját, éppen ezért nem érintett sok fiókot az eset. Azt is elmondta Curtis, hogy a belső vizsgálatok arra jutottak, hogy nincs jele annak, hogy bárki visszaélést követett volna el ezt a hibát kihasználva. Egyetlen esetben sem követtek el olyan visszaélést, ami áldozatot követelt volna.