Meta* выплатила багхантеру-новичку 27 тыс. долларов за найденную уязвимость

Недавно Meta* внедрила централизованную систему входа, чтобы пользователям Instagram* и Facebook* было проще управлять своими учётными записями. К сожалению, при настройке системы двухфакторной аутентификации ( 2FA ) разработчики упустили из виду вопиющую ошибку.

Начинающий багхантер из Непала по имени Гим Менез изучал новый интерфейс Центра учётных записей Meta и заметил, что в процессе привязки учётных записей Facebook и Instagram , вышеупомянутая страница Центра учётных записей позволяет пользователям связать свой номер телефона с учётной записью Meta. Достаточно ввести телефон и шестизначный код 2FA.

Затем Менез обнаружил, что при вводе неправильного кода система просит повторно ввести его, а не отправляет новый. Более того, не было никаких ограничений на количество неудачных попыток ввода этого кода.

Тогда Менез организовал брутфорс -атаку на страницу авторизации и успешно подобрал код двухфакторной аутентификации. Таким образом можно привязать любой существующий номер телефона к своему профилю.

Интересен ещё и тот факт, что после привязки номера к аккаунту Meta, от существующего аккаунта Facebook или Instagram номер телефона отвязывался, а двухфакторная аутентификация отключалась. Отключение 2FA резко снижает уровень безопасности аккаунта. Попасть в такой аккаунт злоумышленникам гораздо быстрее и проще.

Уведомление Facebook об отключении 2FA и отвязке номера телефона

«По сути, наибольшим эффектом при использовании этой уязвимости является отключение настроенной двухфакторной аутентификации с помощью одного только номера телефона жертвы», — сообщил Менез.

В сентябре Meta исправила уязвимость, ещё до публичной огласки. Воспользоваться ей не успел никто кроме самого Менеза. Несмотря на не очень серьёзный характер уязвимости, новоиспеченного багхантера наградили щедрой выплатой в размере 27 тысяч долларов. Видимо, представители Meta решили замотивировать этой историей других начинающих специалистов в сфере кибербезопасности.

* Компания Meta и продукты компании (Instagram и Facebook) признаны экстремистскими организациями, их деятельность запрещена на территории РФ.