Исследователь безопасности из Непала выяснил, что ошибка в новой системе управления входами в Facebook** и Instagram*** позволила злоумышленникам отключить двухфакторную защиту учётной записи, просто зная номер телефона владельца.
Электронное письмо от Metaс уведомлением об отключении двухфакторной аутентификации / techcrunch.com
Исследователь установил, что Meta* не устанавливает лимит попыток ввода СМС-кода при двухфакторной аутентификации. Таким образом, хакер может ввести номер телефона жертвы, связать этот номер со своей учётной записью Facebook, а затем подобрать шестизначный СМС-код. Если попытка будет успешной, то Meta отправит жертве сообщение об отключении двухфакторной аутентификации, так как номер телефона был связан с чужой учётной записью.
Теоретически на этом этапе злоумышленник может завладеть учётной записью жертвы в Facebook, просто выманив у неё пароль, учитывая, что двухфакторная аутентификация была отключена ранее.
Исследователь обнаружил ошибку в Центре учётных записей Meta (Accounts Center) в прошлом году и сообщил о ней компании в середине сентября. Несколько дней спустя Meta исправила ошибку и заплатила ему $27 200 за сообщение.
Представитель Meta Габби Кертис сообщил TechCrunch, что на момент появления ошибки система входа в систему всё ещё находилась на стадии публичного тестирования. Дальнейшее расследование компании показало, что никаких доказательств её эксплуатации в дикой природе не существует.
В январе Комиссия по защите данных Ирландии оштрафовала Meta на €210 млн за нарушения правил защиты данных в Facebook и на €180 млн — в Instagram. Регулятор обязал компанию привести операции по обработке данных в соответствие с его требованиями в течение трёх месяцев.
Позднее в том же месяце Еврокомиссия потребовала от регуляторов Евросоюза ужесточить контроль за нарушениями конфиденциальности со стороны техгигантов.
https://habr.com/ru/news/t/714582/