Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Meta* выплатила багхантеру-новичку 27 тыс. долларов за найденную уязвимость (http://txgate.io:443/showthread.php?t=10675)

Artifact 01-01-2025 10:56 PM

Начинающий специалист научился отключать двухфакторную аутентификацию аккаунта без ведома владельца.
https://www.securitylab.ru/upload/ib...fi3ohcgn4j.jpg
Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации (2FA) разработчики упустили из виду вопиющую ошибку.
Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и Instagram, вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.
Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.
Тогда Менез организовал брутфорс-атаку на страницу авторизации и успешно подобрал код двухфакторной аутентификации. Таким образом можно привязать любой существующий номер телефона к своему профилю.
Интересен ещё и тот факт, что после привязки номера к аккаунту Meta, от существующего аккаунта Facebook или Instagram номер телефона отвязывался, а двухфакторная аутентификация отключалась. Отключение 2FA резко снижает уровень безопасности аккаунта. Попасть в такой аккаунт злоумышленникам гораздо быстрее и проще.
https://www.securitylab.ru/upload/me...ap7xbtkt5y.png
Уведомление Facebook об отключении 2FA и отвязке номера телефона
«По сути, наибольшим эффектом при использовании этой уязвимости является отключение настроенной двухфакторной аутентификации с помощью одного только номера телефона жертвы», — сообщил Менез.
В сентябре Meta исправила уязвимость, ещё до публичной огласки. Воспользоваться ей не успел никто кроме самого Менеза. Несмотря на не очень серьёзный характер уязвимости, новоиспеченного багхантера наградили щедрой выплатой в размере 27 тысяч долларов. Видимо, представители Meta решили замотивировать этой историей других начинающих специалистов в сфере кибербезопасности.


All times are GMT. The time now is 03:34 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.