Bir böcek ödül avcısı, Meta’nın Instagram API uç noktalarında, bir tehdit aktörünün kaba kuvvet saldırıları başlatmasına ve Facebook’ta iki faktörlü kimlik doğrulamayı (2FA) atlamasına izin verebilecek bir sorun buldu.
Araştırmacı Gtm Mänôz, ilk önce bir kullanıcının Facebook hesabıyla ilişkili önceden onaylanmış bir cep telefonu numarasını ekleyerek Instagram ve Facebook hesaplarını bağlayabileceğini keşfetti. Cep telefonu numarası girildiğinde, Facebook kullanıcının kimliğini doğrulamak için tek seferlik bir kod oluşturur.
Ancak Instagram’ın uç noktasındaki hız sınırlayıcı sorun, bir tehdit aktörünün, Facebook’un 2FA korumalarını etkili bir şekilde atlayarak, hesapları bağlamak için tek seferlik bir Facebook PIN’ini onaylamak üzere bir kaba kuvvet saldırısı başlatmak için sınırsız bot trafiği kullanmasına izin verebilir.
“Telefon numarası tamamen doğrulandıysa ve Facebook’ta 2FA etkinleştirildiyse, 2FA kapatılacak veya kurbanın hesabından devre dışı bırakılacak.” Mänôz yazdı. “Telefon numarası kısmen onaylandıysa (bu, yalnızca 2FA için kullanıldığı anlamına gelir), 2FA’yı iptal eder ve telefon numarası da kaldırılır. [the] kurbanın hesabı.”
Meta o zamandan beri sorunu düzeltti ve ödül verdi Mänôz, böcek ödül programı aracılığıyla bulduğu için 27.000 $. Kullanıcılar, güvenlik açığından kaçınmak için uygulamalarını en son sürüme güncellemelidir.