با دسترسی هكرها به موبایل كاربر؛ یک باگ جدید در سیستم احراز هویت فیس بوک کشف شد

سئو مئو: یک باگ جدید در سیستم احراز هویت دو مرحله ای فیسبوک ازطریق یک محقق نپالی کشف شد که به وسیله آن هکرها می توانستند به شماره موبایل کاربر دست یابند و قابلیت احراز هویت را غیرفعال کنند.
به گزارش سئو مئو به نقل از تک کرانچ، باگی در سیستم متمرکزی که فیسبوک برای مدیریت ورود کاربران به حساب های فیسبوک و اینستاگرام ابداع کرده بود، به هکرها اجازه می داد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دو مرحله ای حساب را خاموش کنند. Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید Meta Account Centerتعداد تلاش ها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک می نماید تمام حساب های کاربری خود در شرکت متا ( مانند فیسبوک و اینستاگرام) را به یکدیگر متصل کنند. هکرها با استفاده از شماره موبایل کاربر می توانند وارد حساب های تمرکز یافته شوند و شماره موبایل قربانی را وارد و آنرا به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله ای را غیرفعال می کند. این امر خیلی مهم است برای اینکه هیچ محدودیتی برای تعداد کوشش های یک کاربر برای ورود به سیستم تعیین نشده است. هنگامیکه هکر به کد درست برسد، شماره موبایل قربانی به حساب کاربری فیسبوک وی متصل می شود. چنین حمله ای سبب می شود متا پیامی به قربانیان ارسال و اعلام نماید سیستم احراز هویت دو عاملی آنها غیرفعال شده و همزمان موبایل آنها به حساب کاربری فرد دیگری متصل شده است. در این وضعیت هکر می تواند با استفاده از روش فیشینگ پسورد حساب کاربری فیسبوک را کنترل کند. Manoz سال قبل میلادی این باگ را در مرکز حساب های کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آنرا به شرکت گزارش داد. این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.