Meta, kullanıcıların hesap güvenliğini korumak amacıyla yeni bir güncelleme yayınlamasının ardından Facebook ve Instagram hesapları daha da güvensiz hale gelmişti.
Bilgisayar korsanlarının sistemdeki bir hata sayesinde yalnızca kişinin telefon numarasını bilerek bir hesabın iki faktörlü korumalarını kapatabildiği ortaya çıktı. 2 faktörlü korumada açık olduğu fark ederek durumu şirkete bildiren bir hacker tarafından bu hatadan çabuk dönüldü. Meta, hatayı düzelterek, Mänôz’a 27.200 dolar ödedi.
Nepal’den bir güvenlik araştırmacısı olan Gtm Mänôz, kullanıcıların Facebook ve Instagram gibi tüm hesaplarını birbirine bağlamasına izin veren yeni Meta Hesap Merkezi’nde giriş yapmak için kullanılan iki faktörlü kod girildiğinde, Meta’nın bir deneme sınırı koymadığını fark etti. Bu da sistemdeki çok büyük bir açık olarak göze çarpıyor.
Deneme Sınırı Yoktu
Bir kullanıcının telefon numarasıyla, bilgisayar korsanları merkezi hesaplar merkezine giriş yaparak, esas kullanıcının (kurban) telefon numarasını girer, bu numarayı kendi Facebook hesabına bağlar ve ardından iki faktörlü SMS kodunu kendisine gelmesine zorlayabiliyordu. Bu çok önemli bir hata olarak göze çarpıyor çünkü Meta’nın güncellemesinde birinin yapabileceği girişimlerin miktarında bir üst sınır yoktu. Elbette başarılı bir saldırı sonrasında Meta’nın gerçek kullanıcının telefon numarasına iki faktörün devre dışı kaldığına ve başka birisinin hesabına bağlandığına dair mesaj atmasına sebep oluyor elbette. Ancak bu dakikadan sonra her şey çok geç olabilir.