Un hacker encuentra un fallo que permitía a cualquiera saltarse el 2FA de Facebook e Instagram

[Noticias]

Un hacker encuentra un fallo que permitía a cualquiera saltarse el 2FA de Facebook e Instagram

Hay un problema con el sistema que Meta ha creado para que los usuarios puedan manejar sus inicios de sesión en Facebook e Instagram. Este sistema podría haber permitido a los hackers malintencionados desactivar las protecciones de doble factor de una cuenta solo con conocer la dirección de correo electrónico o el número de teléfono de la persona. Un investigador de seguridad de Nepal, Gtm Mänôz, descubrió que Meta no puso un límite de intentos cuando un usuario introducía el código de doble factor en el nuevo Centro de Cuentas de Meta. Con la información del número de teléfono o correo electrónico de la víctima, un atacante podría ir al centro de cuentas, vincular su propia cuenta de Facebook o Instagram con el número de teléfono de la víctima y forzar el código SMS de doble factor. Como no había un límite de intentos, una vez que el atacante conseguía el código correcto, el número de teléfono de la víctima quedaba vinculado a la cuenta del atacante y el doble factor quedaba desactivado. Mänôz descubrió el fallo el año pasado e informó a Meta, que lo corrigió un mes después y pagó 27.200 dólares a Mänôz por su reporte. No se sabe si algún hacker explotó el fallo antes de que Meta lo corrigiera.

fuente