قامت ميتا مؤخرًا بتطبيق نظام تسجيل دخول مركزي لتسهيل إدارة حسابات على مستخدمي انستجرام و فيسبوك و Meta (VR). لسوء الحظ ، في إعداد نظام 2FA ، أغفل المهندسون فشلًا صارخًا فيما يتعلق بتحديد المحاولات.
لاحظ باحث أمني جديد يُدعى Gtm Mänôz الخطأ في يوليو 2022. أثناء البحث عن أول مكافأة خطأ له لتقديمها في BountyCon 2022 ، بدأ Mänôz في اللعب بواجهة Meta Accounts Center ، التي تدير جميع حسابات ميتا ، مضيفة وظائف مماثلة مثل جوجل وان تسجيل الدخول للخدمات المتنوعة (YouTube ، Gmail ، Docs ، إلخ).
أشار إلى أن الصفحة تسمح للمستخدمين بربط رقم هاتف بحساباتهم عند ربطها. يقوم المستخدمون ببساطة بإدخال رقم هاتفهم ثم إدخال رمز 2FA المكون من ستة أرقام والذي يرسله النظام إليهم. ومع ذلك ، اكتشف Mänôz أنه إذا تم إدخال رمز خاطئ ، فإن مركز الحساب يطلب من المستخدم إعادة إدخاله بدلاً من إرسال رمز جديد.
علاوة على ذلك ، لا يوجد حد لعدد المحاولات الفاشلة التي يمكن للمرء إدخالها في مربع التحقق. سمح هذا الإشراف لمانوز بإجبار 2FA على حسابه الخاص لربط رقم هاتفه بملف تعريف آخر على Facebook. يأتي التحذير الوحيد بعد سرقة رقم الهاتف في رسالة بريد إلكتروني من Meta إلى الضحية تخبرهم أنه قد تم ربطه بحساب مستخدم آخر.
في حين أن ضرر هذا الاستغلال يقتصر بشكل أساسي على إعادة التأسيس المزعجة لرقم هاتف المالك ، إلا أنه يعطل 2FA على حساب الضحية ، وإن كان ذلك مؤقتًا. حتى يتخذ الهدف إجراءً ، فهو مفتوح لهجمات التصيد الاحتيالي لكلمة المرور.
في الأساس ، كان التأثير الأكبر هنا هو إبطال 2FA المستندة إلى الرسائل القصيرة لأي شخص يعرف فقط رقم الهاتف
مانوز لموقع TechCrunch
أبلغ Mänôz شركة ميتا عن الخطأ في سبتمبر ، وقامت بتصحيح الثغرة الأمنية على الفور. قال متحدث باسم Mänôz إنه عندما اكتشف Mänôz المشكلة ، كان مركز حسابات Meta لا يزال في مرحلة تجريبية ومتاح فقط لعدد صغير من المستخدمين. وأشار الممثل أيضًا إلى أن تحقيق Meta لم يكشف عن أي طفرات في استخدام هذه الميزة ، مما يشير إلى أن المتسللين لم يستغلوها.
على الرغم من الخطر المنخفض نسبيًا للخلل ، فقد منحت ميتا Mänôz مكافأة قدرها 27200 دولار. ليس سيئًا لأول تبليغ عن خلل له.
تعثرت Meta عدة مرات في العامين الماضيين فيما يتعلق بميزات تسجيل الدخول لحساباتها المختلفة. في عام 2021 ، تسبب في حالة من الذعر المعتدل عندما قام بتسجيل خروج الجميع من فيسبوك عند إعادة تكوين الموقع. في العام الماضي ، أغلقت عن قصد العديد من المستخدمين من حساباتهم لعدم تمكين “Facebook Protect” في موعد نهائي محدد بواسطة بريد إلكتروني Meta رسمي بدا بشكل مريب وكأنه خدعة تصيد احتيالي.
ابدأ المناقشة في forum.mjbtechtips.com