Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram*, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook*, принадлежащей той же компании, Meta* Platforms.
Пользователь может связать свои учётные записи Instagram* и Facebook*, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook*. После ввода номера мобильного телефона Facebook* генерирует одноразовый код для подтверждения личности пользователя.
Но ошибка с ограничением числа попыток доступа в Instagram* может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook*, эффективно обходя двухфакторную защиту Facebook*.
«Если номер телефона был полностью подтверждён и в Facebook* включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».
Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta* уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta* до последней версии, чтобы избежать уязвимости.
* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».
Источник: