Falha no Facebook e Instagram permite ignorar autenticação 2FA

Falta de um recurso de limitação de taxa permitiu que um invasor adicionasse um número de telefone já verificado a uma conta alvo do Facebook ou Instagram usando o Meta Accounts Center
Da Redação
01/02/2023

Uma falha no Facebook e no Instagram permite ignorar a autenticação de dois fatores (2FA). A falta de um recurso de limitação de taxa foi descoberta por Gtm Mänôz, um pesquisador de segurança de Kathmandu, no Nepal, e permitiu que um invasor adicionasse um número de telefone já verificado a uma conta alvo do Facebook ou Instagram usando o Meta Accounts Center.

O pesquisador analisou o layout mais recente do Meta Accounts Center do Instagram e notou que a seção “Detalhes pessoais” permitia aos usuários adicionar seu e-mail e número de telefone ao Instagram e às contas vinculadas do Facebook. Essas informações podem ser verificadas inserindo o código de seis dígitos apropriado recebido por e-mail ou telefone.

“O endpoint que verificava o código de seis dígitos era vulnerável à falta de proteção de limite de taxa, permitindo que qualquer pessoa confirmasse e-mail e número de telefone desconhecidos/conhecidos tanto no Instagram quanto em contas vinculadas do Facebook”, explicou o pesquisador.

O Facebook gera um código único depois que o usuário insere seu número de celular para confirmar sua identificação. No entanto, um operador de ameaça pode gerar tráfego de bot ilimitado para lançar um ataque de força bruta para validar um PIN único do Facebook para vincular as contas, ignorando as proteções 2FA, devido justamente à falha de limitação de taxa no endpoint do Instagram.

Veja isso
Microsoft manda usuários abandonarem 2FA baseada em telefonia
Hackers acessaram Twitter driblando até estratégia de 2FA

Segundo o pesquisador, se o número de telefone fosse totalmente verificado e o 2FA fosse ativado no Facebook, a conta da vítima não teria mais a autenticação de dois fatores ativada. Além disso, se o número de telefone foi confirmado apenas parcialmente, ou seja, usado para 2FA, o 2FA será revogado e o número de telefone será excluído da conta da vítima. “Basicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o número de telefone”, disse Mänôz.

Após a revelação do pesquisador, a Meta resolveu o problema e, como parte de seu programa de recompensas por bugs pagou US$ 27 mil a Mänôz.

Para evitar a exposição, os usuários devem atualizar seus aplicativos para a versão mais recente.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)