Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Meta* выплатила багхантеру-новичку 27 тыс. долларов за найденную уязвимость

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-01-2025, 10:56 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Начинающий специалист научился отключать двухфакторную аутентификацию аккаунта без ведома владельца.

Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации (2FA) разработчики упустили из виду вопиющую ошибку.
Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и Instagram, вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.
Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.
Тогда Менез организовал брутфорс-атаку на страницу авторизации и успешно подобрал код двухфакторной аутентификации. Таким образом можно привязать любой существующий номер телефона к своему профилю.
Интересен ещё и тот факт, что после привязки номера к аккаунту Meta, от существующего аккаунта Facebook или Instagram номер телефона отвязывался, а двухфакторная аутентификация отключалась. Отключение 2FA резко снижает уровень безопасности аккаунта. Попасть в такой аккаунт злоумышленникам гораздо быстрее и проще.

Уведомление Facebook об отключении 2FA и отвязке номера телефона
«По сути, наибольшим эффектом при использовании этой уязвимости является отключение настроенной двухфакторной аутентификации с помощью одного только номера телефона жертвы», — сообщил Менез.
В сентябре Meta исправила уязвимость, ещё до публичной огласки. Воспользоваться ей не успел никто кроме самого Менеза. Несмотря на не очень серьёзный характер уязвимости, новоиспеченного багхантера наградили щедрой выплатой в размере 27 тысяч долларов. Видимо, представители Meta решили замотивировать этой историей других начинающих специалистов в сфере кибербезопасности.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:45 PM.

Contact Us - Carder.life - Archive - Top