Güvenlik açığı, Meta’nın 2022’deki en büyük hatalarından biriydi
Meta, Facebook’ta bir saldırganın SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) atlamasına izin verebilecek bir güvenlik açığını yamaladı.
Bulucusuna 27.200 $ ödül kazandıran hata, bunu, hedeflenen kullanıcının zaten doğrulanmış Facebook cep telefonu numarasını Instagram’daki Meta Hesaplar Merkezini kullanarak onaylayarak yaptı.
Instagram’da, bir saldırganın birinin telefon numarasını doğrulamak için gereken doğrulama şifresini kaba kuvvetle kullanmasına olanak tanıyan bir oran sınırlayıcı sorundan yararlandı.
Web güvenlik açıkları hakkında en son haberlerin devamını okuyun
Meta, kullanıcılara e-posta ve telefon numaralarını hem Instagram hem de bağlantılı Facebook hesaplarına ekleme seçeneği verdi; bu, e-posta veya SMS ile gönderilen altı haneli bir kodla doğrulanabilir.
Ancak, herhangi bir rastgele altı basamak girilebilir ve istek, Burp Suite gibi bir web proxy kullanılarak durdurulabilir.
Gautam, blog gönderisinde “Ardından, yukarıdaki isteği davetsiz misafire gönderin ve onay kodunu kaba kuvvetle zorlamak için değere yer tutucu ekleyin” diye yazdı.
“Bunda hiçbir hız sınırı koruması olmadığı için , herkes temas noktası doğrulamasını atlayabilir.”
Hatayı bulan Katmandu merkezli güvenlik araştırmacısı Manoj Gautam, kodu doğrulayan uç noktanın hız sınırı koruması eksikliğine karşı da savunmasız olduğunu söylüyor.
Gautam, “Herhangi bir iletişim noktasını (e-posta veya telefon) doğrularken hiçbir hız sınırı koruması olmadığından, yalnızca telefon numarasını bilen bir saldırgan, kurbanın 2FA etkin telefon numarasını Instagram bağlantılı Facebook hesabına ekleyebilir” dedi. günlük yudum.
“Saldırgan, kurbanın 2FA özellikli telefon numarasını eklediğinde [to] Instagram bağlantılı Facebook hesabı, 2FA kapatılacak veya kurbanın hesabından devre dışı bırakılacak.”
Hata yamalı
Gautam, sorunu ilk olarak 14 Eylül’de Meta’ya bildirdi ve Meta sorunu 17 Ekim’de düzeltti. Şirket, bunun 2022’de bulunan en etkili hatalardan biri olduğunu ilan etti ve sonunda 27.200$’lık bir ödül verdi.
“Başlangıçta ödül kararlarına ikna olmadım çünkü sadece 3000 dolardı. Daha sonra, başlangıçta bildirdiğim hatanın değerine ek olarak maksimum potansiyel etkiyi yansıtacak ek ödül miktarının verilmesini söyleyerek cevap verdiler” dedi.
“Son olarak, raporun sunulmasından 92 gün sonra, 2FA baypası için yeni ödeme yönergelerine göre bana ek ödül verildi. Sonuç olarak 90 günden fazla beklemeye değdi ve Facebook’tan en yüksek ödül ödülünü aldım.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Ruby on Rails uygulamaları, Ransack arama yoluyla veri hırsızlığına açık