دسترسی به شماره موبایل کاربر و غیرفعال کردن سیستم احراز هویت فیسبوک

به گزارش مجله خبری نگار به نقل از تک کرانچ، باگی در سیستم متمرکزی که فیس بوک برای مدیریت ورود کاربران به حساب‌های فیس بوک و اینستاگرام ابداع کرده بود، به هکر‌ها اجازه می‌داد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دو مرحله‌ای حساب را خاموش کنند.

Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید Meta Account Center تعداد تلاش‌ها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک می‌کند تمام حساب‌های کاربری خود در شرکت متا (مانند فیس بوک و اینستاگرام) را به یکدیگر متصل کنند.

هکر‌ها با استفاده از شماره موبایل کاربر می‌توانند وارد حساب‌های تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله‌ای را غیرفعال می‌کند. این امر بسیار مهم است، زیرا هیچ محدودیتی برای تعداد تلاش‌های یک کاربر برای ورود به سیستم تعیین نشده است.

هنگامیکه هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیس بوک وی متصل می‌شود. چنین حمله‌ای سبب می‌شود متا پیامی به قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آن‌ها غیرفعال شده و همزمان موبایل آن‌ها به حساب کاربری فرد دیگری متصل شده است.

در این وضعیت هکر می‌تواند با استفاده از روش فیشینگ پسورد حساب کاربری فیس بوک را کنترل کند.

Manoz سال گذشته میلادی این باگ را در مرکز حساب‌های کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.

این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.