ตรวจพบว่าเป็นส่วนหนึ่งของโปรแกรม Bug Bounty ที่จัดโดย Meta ในปี 2022 ข้อบกพร่องดังกล่าวได้รับการแก้ไขในที่สุดก่อนที่จะถูกนำไปใช้ประโยชน์
มันเป็นแมลงที่อาจก่อให้เกิดอันตรายได้ ข้อบกพร่องร้ายแรงที่ฝังอยู่ในระบบการเชื่อมต่อพื้นที่บัญชีใหม่ที่ใช้งานโดย Meta เมื่อฤดูร้อนปีที่แล้ว อาจทำให้แฮกเกอร์ที่มีประสบการณ์สามารถเลี่ยงการรับรองความถูกต้องสองครั้ง (A2F) บน Facebook ได้
เปิดเผยโดย Gtm Mänôz นักวิจัยด้านความปลอดภัยของคอมพิวเตอร์ รายละเอียดเกี่ยวกับการค้นพบและการใช้ประโยชน์จากช่องโหว่ดังกล่าวทำให้เกิดคำถามว่าไม่มีการจำกัดความพยายามในการเชื่อมต่อในโพสต์ที่เผยแพร่บนสื่อเขาอธิบายว่าเขาสามารถเชื่อมโยงหมายเลขโทรศัพท์ของเหยื่อที่เป็นไปได้กับ Meta Account Space ของเขาเอง
โดยสรุป Mänôz ป้อนหมายเลขโทรศัพท์ที่เขาควรจะได้รับหมายเลขยืนยันหกหลัก แต่แทนที่จะใช้รหัสเฉพาะนี้ ผู้วิจัยกลับป้อนตัวเลขอีก 6 หลัก และได้รับข้อความแสดงข้อผิดพลาดแจ้งให้ตรวจสอบรหัสความปลอดภัยอีกครั้งและลองเข้าสู่ระบบอีกครั้ง
นี่คือจุดที่เรื่องราวอาจสร้างความเสียหายให้กับบริษัทแม่ของ Facebook อย่างมหาศาล เนื่องจากไม่มีการจำกัดความพยายามในการเชื่อมต่อ Mänôz จึงสามารถถอดรหัสรหัสยืนยันของเขาได้โดยใช้กำลังดุร้าย กล่าวคือ พยายามผสมตัวเลขหกหลักให้มากที่สุดเท่าที่จำเป็นเพื่อตรวจสอบความถูกต้องของการรับรองความถูกต้องซ้ำซ้อน
ในกรณีที่เลวร้ายที่สุด การโจมตีดังกล่าวจะส่งผลต่อการปิดใช้งาน 2FA บนบัญชี Facebook ของเหยื่อ และข้ามระบบรักษาความปลอดภัยเพื่อป้องกันไม่ให้ที่อยู่อีเมลเดียวกันเชื่อมโยงกับบัญชีสองบัญชีที่แตกต่างกัน
การกระทำปฏิกิริยา
รายงานเมื่อเดือนกันยายนปีที่แล้วใน Metaช่องโหว่ได้รับการแก้ไขแล้วโดยทีมเทคนิคในอีกหนึ่งเดือนต่อมา ทำให้Mänôzได้รับโบนัส 27,200 ดอลลาร์อ้างโดย TechCrunchGabby Curtis โฆษกของ Meta ยืนยันว่าข้อบกพร่องดังกล่าวไม่ได้ถูกนำไปใช้ประโยชน์ ระบบใหม่สำหรับการเชื่อมต่อกับพื้นที่บัญชีนั้นอยู่ในขั้นตอนการทดสอบโดยมีผู้ชมจำนวนจำกัดมาก
ข้อบกพร่องดังกล่าวแทบจะไม่มีใครสังเกตเห็นเลยหาก Meta ไม่ได้ให้ความสำคัญกับความปลอดภัยของผู้ใช้เป็นอันดับแรกในปี 2021 บริษัทได้ติดตั้ง Facebook Protect ในฝรั่งเศส ร่วมกับการเลือกตั้งประธานาธิบดีโปรแกรมรักษาความปลอดภัยที่ได้รับการปรับปรุงนี้ช่วยให้ผู้ที่เสี่ยงต่อการโจมตีทางไซเบอร์สามารถรวมการป้องกันบัญชีของตนได้ ในเวลาเดียวกัน 2FA ก็เริ่มบังคับใช้สำหรับผู้ใช้อินเทอร์เน็ตกลุ่มเดียวกันนี้ ไม่ว่าจะเป็นเจ้าหน้าที่ของรัฐ นักข่าว นักเคลื่อนไหว ผู้มีบทบาททางการเมือง หรือแม้แต่นักปกป้องสิทธิมนุษยชน
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
