Lỗ hổng cho phép hacker vượt qua bảo mật 2 lớp của Facebook.

Một lỗi trong hệ thống của Meta cho phép hacker có thể tắt tính năng bảo mật 2 lớp của Facebook chỉ bằng số điện thoại.
Gtm Mänôz, một nhà nghiên cứu bảo mật tại Nepal đã phát hiện ra rằng Trung tâm tài khoản mới của Meta không giới hạn số lần thử khi người dùng nhập mã xác thực 2 lớp.
Cụ thể, đầu tiên hacker sẽ thu thập số điện thoại của nạn nhân, sau đó đi đến Trung tâm tài khoản mới của Meta, liên kết số điện thoại đó với tài khoản Facebook của họ. Việc không giới hạn số lần thử mã xác thực 2 lớp đã tạo điều kiện cho phép hacker dễ dàng chiếm tài khoản của nạn nhân.
Khi kẻ tấn công lấy đúng mã xác thực, số điện thoại của nạn nhân sẽ được liên kết với tài khoản Facebook của hacker. Nạn nhân sẽ nhận được tin nhắn từ Meta với nội dung nói rằng tính năng bảo mật 2 lớp của họ đã bị vô hiệu hóa do số điện thoại của họ được liên kết với tài khoản của người khác.
Chia sẻ với TechCrunch, Mänôz cho biết: “Về cơ bản, tác động lớn nhất ở đây là khả năng vượt qua tính năng bảo mật 2 lớp khi chỉ cần biết số điện thoại”.
Email Meta thông báo cho người dùng về việc số điện thoại cá nhân đã được đăng ký và xác minh bởi một người khác trên Facebook.
Mänôz đã tìm thấy lỗi này trong Trung tâm tài khoản mới của Meta vào năm ngoái và đã báo cáo lỗi cho công ty vào giữa tháng 9. Meta đã sửa lỗi vài ngày sau đó và trả cho Mänôz 27.200 USD.
Người phát ngôn của Meta – Gabby Curtis nói với TechCrunch rằng tại thời điểm xảy ra lỗi, hệ thống đăng nhập vẫn đang ở giai đoạn thử nghiệm công khai (hạn chế).
Curtis cũng nói rằng cuộc điều tra của Meta sau khi lỗi được báo cáo đã phát hiện ra rằng không có bằng chứng về việc khai thác trong thực tế và Meta không thấy việc sử dụng tính năng cụ thể đó tăng đột biến, điều này cho thấy thực tế là không có ai đang lạm dụng nó.
Thông tin này tiếp tục được củng cố khi cựu nhân viên Facebook – George Hayward (một nhà khoa học dữ liệu) tiết lộ về Negative testing (thử nghiệm tiêu cực), cho phép các công ty công nghệ bí mật làm cạn kiệt pin trên điện thoại của người dùng dưới danh nghĩa thử nghiệm các tính năng, kiểm tra tốc độ ứng dụng hoặc cách hình ảnh được tải.
Hayward đã bị Meta, công ty mẹ của Facebook sa thải vào tháng 11 vì từ chối tham gia thử nghiệm tiêu cực. “Tôi đã nói với người quản lý, điều này có thể gây hại cho ai đó. Đừng làm tổn thương mọi người”, anh chia sẻ với The New York Post.
Nếu cảm thấy điện thoại hao pin hơn so với bình thường, bạn có thể gỡ bỏ Facebook và Messenger để cảm nhận sự khác biệt. Trong trường hợp cảm thấy hữu ích, bạn đừng quên chia sẻ bài viết cho nhiều người cùng biết.
Theo nguồn sưu tầm.

Nhận tin tức mới nhất về An ninh mạng vào hộp thư của bạn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây