В системе авторизации соцсети Facebook* выявлена критическая уязвимость

Изображение: John Schnobrich (unsplash)

Специалист по кибербезопасности из Непала Джитм Манос выявил в системе двухфакторной авторизации корпорации Meta* уязвимость, с помощью которой злоумышленники могут обойти этот серьёзный защитный рубеж. Соответствующее заявление накануне сделало профильное издание TechCrunch.

Специалисты уточняют, что в экосистеме корпорации Meta*присутствует в специальный сервис Meta Account Center, позволяющий объединить учётные записи в сервисах Instagram*, Facebook*, а также множества других проектов американской корпорации. В нём есть возможность настройки не только общих параметров авторизации, но и множества других функций, например, кросссервисных публикаций постов.

Как и в остальных сервисах корпорации Meta*, в этом аккаунте-центре присутствует двухфакторная авторизация, но основное её отличие заключается в том, что между попытками ввода шестизначного кода подтверждений из SMS-сообщений или с электронного адреса там нет тайм-аута. Поэтому, если злоумышленник будет знать учётные данные пользователя, а также его телефонный номер, то он может зайти на страницу этого аккаунт-центра, ввести там пароль и начать брутфорс-атаки (подбор необходимой комбинации перебором) с попытками подобрать проверочный код с использованием специального ПО.

После подбора необходимого кода злоумышленник вполне может получить доступ к всем сервисам пользователя, которые у него есть в экосистеме корпорации Meta*.

Эксперт по информационной безопасности из Непала Джитм Манос выявил эту проблему и заявил о ней ещё летом прошлого года. В американской корпорации рассказали о том, что уязвимость была устранена в октябре 2022 года. В начале 2023 года был выпущен общий отчёт, в котором были раскрыты детали эксплуатации уязвимости. Отдельно уточняется, что Meta* выплатила специалисту по кибербезопасности денежное вознаграждение в размере 27 200 долларов.

Ранее глава комиссии Совфеда РФ по информационной политике Алексей Пушков заявил, что включение американской компании Meta* в реестр террористических и экстремистских организаций не скажется на использовании российскими пользователями принадлежащих корпорации сервисов Facebook и Instagram.

*Meta – признанная экстремистской американская компания, владеющая социальными сетями Instagram и Facebook. Деятельность корпорации на территории России под запретом.

Источник: cisoclub.ru