Специалист по кибербезопасности из Непала Джитм Манос выявил в системе двухфакторной авторизации корпорации Meta* уязвимость, с помощью которой злоумышленники могут обойти этот серьёзный защитный рубеж. Соответствующее заявление накануне сделало профильное издание TechCrunch.
Специалисты уточняют, что в экосистеме корпорации Meta*присутствует в специальный сервис Meta Account Center, позволяющий объединить учётные записи в сервисах Instagram*, Facebook*, а также множества других проектов американской корпорации. В нём есть возможность настройки не только общих параметров авторизации, но и множества других функций, например, кросссервисных публикаций постов.
Как и в остальных сервисах корпорации Meta*, в этом аккаунте-центре присутствует двухфакторная авторизация, но основное её отличие заключается в том, что между попытками ввода шестизначного кода подтверждений из SMS-сообщений или с электронного адреса там нет тайм-аута. Поэтому, если злоумышленник будет знать учётные данные пользователя, а также его телефонный номер, то он может зайти на страницу этого аккаунт-центра, ввести там пароль и начать брутфорс-атаки (подбор необходимой комбинации перебором) с попытками подобрать проверочный код с использованием специального ПО.
После подбора необходимого кода злоумышленник вполне может получить доступ к всем сервисам пользователя, которые у него есть в экосистеме корпорации Meta*.
Эксперт по информационной безопасности из Непала Джитм Манос выявил эту проблему и заявил о ней ещё летом прошлого года. В американской корпорации рассказали о том, что уязвимость была устранена в октябре 2022 года. В начале 2023 года был выпущен общий отчёт, в котором были раскрыты детали эксплуатации уязвимости. Отдельно уточняется, что Meta* выплатила специалисту по кибербезопасности денежное вознаграждение в размере 27 200 долларов.
Ранее глава комиссии Совфеда РФ по информационной политике Алексей Пушков заявил, что включение американской компании Meta* в реестр террористических и экстремистских организаций не скажется на использовании российскими пользователями принадлежащих корпорации сервисов Facebook и Instagram.
*Meta – признанная экстремистской американская компания, владеющая социальными сетями Instagram и Facebook. Деятельность корпорации на территории России под запретом.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
