Um pesquisador divulgou os detalhes de uma vulnerabilidade de autenticação de dois fatores (2FA) que lhe rendeu uma recompensa de bug de US$ 27.000 da Meta, empresa controladora do Facebook.
Gtm Manoz, do Nepal, descobriu em setembro de 2022 que um sistema projetado pela Meta para confirmar um número de telefone e endereço de e-mail não tinha nenhuma proteção de limitação de taxa.
Uma correção foi lançada pela Meta em outubro de 2022 e a empresa destacou as descobertas de Manoz em seu relatório anual do programa de recompensas por bugs . A gigante da tecnologia pagou mais de US$ 16 milhões por meio de seu programa desde 2011, com US$ 2 milhões concedidos em 2022.
Em uma postagem de blog publicada no início deste mês, Manoz disse que descobriu a vulnerabilidade ao analisar uma nova página do Meta Accounts Center no Instagram. Aqui, os usuários podem adicionar um endereço de e-mail e número de telefone à conta do Instagram e à conta do Facebook vinculada ao Instagram. Para verificar o endereço de e-mail e o número de telefone, os usuários devem inserir um código de seis dígitos recebido por e-mail ou SMS.
A análise do pesquisador revelou que o sistema de verificação do código de seis dígitos não tinha limitação de taxa, o que poderia permitir que um invasor inserisse todos os códigos possíveis até obter o correto.
Especificamente, um hacker precisaria saber o número de telefone atribuído pelo usuário-alvo à sua conta do Instagram e do Facebook. Ao explorar a vulnerabilidade, o invasor poderia ter obtido o código de verificação de seis dígitos por meio de um ataque de força bruta e atribuído o número de telefone da vítima a uma conta que controlava.
Isso resultou na remoção do número de telefone da conta do Facebook e Instagram da vítima e na desativação do 2FA por motivos de segurança – se um número de telefone for verificado por outro usuário, esse usuário receberá o SMS contendo o código 2FA e o Meta está tentando para evitar isso.
Manoz mostrou que os usuários do Facebook receberam uma notificação quando seu número de telefone foi removido por ter sido verificado por uma pessoa diferente.
Com base no impacto potencial máximo da vulnerabilidade, a Meta decidiu pagar US$ 27.200 pelas descobertas do pesquisador.
12 thoughts on “Meta paga recompensa de $27.000 por vulnerabilidade no 2FA”
Comments are closed.