Vulnerabilidade de segurança foi um dos principais bugs do Meta em 2022
A Meta corrigiu uma vulnerabilidade no Facebook que poderia permitir que um invasor ignorasse a autenticação de dois fatores (2FA) baseada em SMS.
O bug – que rendeu ao seu localizador uma recompensa de $ 27.200 – fez isso confirmando o número de celular do Facebook já verificado do usuário-alvo usando o Meta Accounts Center no Instagram.
Ele explorou um problema de limitação de taxa no Instagram que permitia que um invasor aplicasse força bruta ao PIN de verificação necessário para confirmar o número de telefone de alguém.
Leia mais sobre as últimas notícias sobre vulnerabilidades de segurança na web
A Meta deu aos usuários a opção de adicionar seu e-mail e número de telefone à conta do Instagram e do Facebook vinculada, que podem ser verificados por meio de um código de seis dígitos enviado por e-mail ou SMS.
No entanto, quaisquer seis dígitos aleatórios podem ser inseridos e a solicitação interceptada usando um proxy da Web, como o Burp Suite.
“Em seguida, envie a solicitação acima ao intruso e insira o espaço reservado no valor para forçar o código de confirmação”, escreveu Gautam em seu blog.
“Como não havia proteção de limite de taxa nisso, qualquer um poderia ignorar a verificação dos pontos de contato.”
O endpoint que verificava o código também era vulnerável à falta de proteção de limite de taxa, disse o pesquisador de segurança Manoj Gautam, de Kathmandu, que encontrou o bug.
“Como não havia proteção de limite de taxa durante a verificação de quaisquer pontos de contato – e-mail ou telefone – um invasor apenas sabendo o número de telefone poderia adicionar o número de telefone habilitado para 2FA da vítima em sua conta do Facebook vinculada ao Instagram”, disse Gautam ao The Gole diário.
“Depois que o invasor adicionar o número de telefone habilitado para 2FA da vítima [à] sua conta do Facebook vinculada ao Instagram, o 2FA será desativado ou desabilitado da conta da vítima”.
Bug corrigido
Gautam relatou o problema pela primeira vez à Meta em 14 de setembro, que o corrigiu em 17 de outubro. A empresa declarou que era um dos bugs mais impactantes encontrados em 2022 e concedeu uma recompensa de $ 27.200 – eventualmente.
“Inicialmente, não fiquei convencido com a decisão de recompensa porque era apenas $ 3.000. Posteriormente, eles responderam dizendo para emitir o valor da recompensa adicional que refletirá o impacto potencial máximo, além do valor do bug que relatei inicialmente”, diz ele.
“Finalmente, após 92 dias do envio do relatório, recebi uma recompensa adicional de acordo com as novas diretrizes de pagamento para o bypass 2FA. Ao todo, valeu a pena esperar por mais de 90 dias e recebi a maior recompensa do Facebook.”
VOCÊ TAMBÉM PODE GOSTAR Aplicativos Ruby on Rails vulneráveis a roubo de dados por meio da pesquisa Ransack
Fonte
