Facebook’ta İki Faktörlü Kimlik Doğrulamayı Atlama

   Ocak 31, 2023  Posted in GBHackers


İki Faktörlü Kimlik Doğrulamayı Atlama

Instagram’da hız sınırlaması olmaması, Katmandu, Nepal’den bir güvenlik araştırmacısı olan Gtm Mänôz tarafından keşfedildi.

Bu kusur, bir saldırganın, hedeflenen kullanıcının zaten doğrulanmış Facebook cep telefonu numarasını Meta Hesap Merkezi’ni kullanarak doğrulayarak Facebook’un iki faktörlü kimlik doğrulamasını atlamasına izin verebilirdi.

Facebook’ta İki Faktörlü Kimlik Doğrulamayı Atlama

Araştırmacı, Instagram’ın en son “Meta Hesap Merkezi” düzenine baktı ve “Kişisel Ayrıntılar” bölümünün, kullanıcıların hem Instagram hem de bağlantılı Facebook hesaplarına e-posta ve telefon numaralarını eklemelerine olanak tanıdığını fark etti. Bu bilgiler daha sonra e-posta veya telefonla alınan uygun 6 haneli kod girilerek doğrulanabilir.

https://miro.medium.com/max/697/1*xAUPLeIpfS3ogx3fZDqYNA.jpeg
Meta Hesap Merkezi Düzeni

Araştırmacı, “Raporlama sırasında, 6 basamaklı kodu doğrulayan uç nokta, hem Instagram hem de bağlantılı Facebook hesaplarında herkesin bilinmeyen/bilinen e-posta ve telefon numarasını onaylamasına izin veren oran sınırı korumasının eksikliğine karşı savunmasızdı” diye açıklıyor.

DÖRT

Mänôz, Instagram’ın “Meta Hesaplar” için yeni düzenine baktığında, hız sınırlayıcı bir özelliğin olmaması, bir saldırganın önceden doğrulanmış bir telefon numarasını hedef Facebook/Instagram hesabına eklemesine olanak sağladı.

Facebook, kullanıcı kimliğini doğrulamak için cep telefonu numarasını girdikten sonra tek seferlik bir kod oluşturur.

Bununla birlikte, bir tehdit aktörü, hesapları bağlamak için tek seferlik bir Facebook PIN’ini doğrulamak üzere kaba kuvvet saldırısı başlatmak için sınırsız bot trafiği oluşturabilir ve böylece Instagram’ın uç noktasındaki hız sınırlayıcı bir kusur nedeniyle Facebook’un 2FA korumasını atlayabilir.

Araştırmacıya göre, telefon numarası tamamen doğrulanmışsa ve Facebook’ta 2FA etkinleştirildiyse, kurbanın hesabında artık 2FA etkin olmayacaktı.

Ek olarak, telefon numarası yalnızca kısmen doğrulandıysa, yani 2FA için kullanılmışsa, 2FA iptal edilecek ve telefon numarası kurbanın hesabından silinecektir.

Meta tarafından bir kullanıcıya gönderilen ve şunları yazan bir e-postanın ekran görüntüsü:
Meta’dan iki faktörlü korumalarının devre dışı bırakıldığını bildiren mesaj

Mänôz’a göre “Temel olarak buradaki en yüksek etki, herhangi birinin SMS tabanlı 2FA’sını sadece telefon numarasını bilerek iptal etmekti”.

O zamandan beri Meta sorunu çözdü ve hata ödül programının bir parçası olarak Mänôz’a 27.000 $ verdi. Açığa çıkmamak için, kullanıcıların uygulamalarını en son sürüme yükseltmeleri gerekir.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link