Un fallo permite desactivar la autenticación de dos factores de Facebook

En este punto, en teoría, un atacante podría intentar apoderarse de la cuenta de Facebook de la víctima simplemente mediante el phishing para obtener la contraseña, dado que el objetivo ya no tenía habilitado el doble factor.
0
488

Un fallo en el Centro de cuentas de Meta, que aúna la gestión de las cuentas de las dos redes sociales de la compañía, ha permitido a los actores maliciosos desactivar la autenticación de dos factores en Facebook de un usuario con solo conocer su número de teléfono.

El investigador en ciberseguridad Gtm Mänôz detectó que Meta no había establecido un número de limitado de intentos para acceder a la cuenta con la autenticación de dos factores mediante SMS activada dentro de la nueva interfaz para el Centro de cuentas.

https://twitter.com/Gtm0x01/status/1618957819457454082

Por este fallo, un atacante podía, en caso de conocer el número de teléfono de la víctima, vincularlo a su propia cuenta como parte del sistema de dos factores. Al intentar confirmar el cambio, se solicita un código de seis dígitos enviado al móvil, que el atacante no conoce por el momento.

Sin embargo, al no haber límite de intentos, puede iniciar un ataque de fuerza bruta, intentar introducir tantas combinaciones de seis dígitos como pueda hasta dar con la que le permita acceder. En ese momento, lo que ocurre es que el número de teléfono de la víctima se ha logrado vincular con éxito a la cuenta del atacante.

La víctima, por su parte, recibirá una notificación en la que se indica que su número de teléfono se ha desvinculado de su cuenta, ya que forma parte del sistema de autenticación de dos factores de otra persona. Como consecuencia, tendrá la autenticación de dos factores desactivada, lo que le hará más vulnerable a los ataques que intenten acceder a su cuenta.

Mänôz identificó este fallo el año pasado, como explica en su blog en Medium. El 14 de septiembre envió a Meta el informe correspondiente y tras solicitar la ayuda del investigador para reproducirlo, unos días después la compañía tecnológica logró eliminarlo, aunque no fue hasta el 17 de octubre que llegó lo solucionó del todo.

https://twitter.com/jaiguptanick/status/1621615648437841921

Comments are closed.