1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Error de Facebook significaba que cualquiera podía omitir 2FA

Error de Facebook significaba que cualquiera podía omitir 2FA

RESUMEN EJECUTIVO:

Un error en un nuevo sistema de punto final desarrollado por Meta podría haber permitido a un pirata informático desactivar la autenticación de dos factores de una cuenta. En términos más simples, un pirata informático podría haber desactivado la autenticación de dos factores su Cuenta de Facebook en cualquier momento antes de mediados de septiembre de 2022. Un hacker solo necesitaba un número de teléfono para hacerlo realidad.

Hallazgos de Facebook

El año pasado, un investigador de seguridad observó que Meta no había establecido límites de intentos de inicio de sesión después de la entrada de un usuario de un código de dos factores utilizado para iniciar sesión en el nuevo Centro de Cuentas de Meta, que está diseñado para ayudar a los usuarios a conectar todas sus cuentas de Meta.

Un atacante en posesión del número de teléfono de una víctima podría visitar el Centro de cuentas de Meta, ingresar el número de teléfono de la víctima, vincular el número a su propia cuenta de Facebook y luego forzar el código de mensaje de texto de dos factores. Este último fue el paso clave porque no había un límite superior para el número de intentos de entrada de código de texto de dos factores que una persona podía hacer.

Después de que un atacante lograra ingresar por la fuerza bruta a la cuenta, habiendo descifrado el código de autenticación, el número de teléfono de la víctima podría vincularse a la propia cuenta de Facebook del atacante. La plataforma Meta terminaría enviando un mensaje a la víctima, diciendo que su autenticación de dos factores estaba deshabilitada y que la cuenta se había vinculado a un nuevo perfil.

Imagen del mensaje 2FA. Imagen cortesía de Techcrunch.com.

"Básicamente, el mayor impacto aquí fue revocar el 2FA basado en SMS de cualquier persona con solo saber el número de teléfono", dijo el investigador de seguridad que identificó la falla, Gtm Mänôz.

Adquisición de cuentas de Facebook

Todo el proceso mencionado anteriormente significaba que la autenticación de dos factores ya no estaba habilitada para una cuenta determinada. En ese momento, un atacante cibernético podría intentar hacerse cargo de la cuenta simplemente mediante la suplantación de identidad de la contraseña.

El error fue reportado

Mänôz informó de este error a Meta a mediados de septiembre. Meta corrigió el error en varios días, y Mänôz recibió $27,200 por sus hallazgos.

Un portavoz de Meta dice que en el momento del error, el sistema de inicio de sesión no se había escalado correctamente, permanecían en la etapa de una pequeña prueba pública.

Una investigación posterior mostró que no había evidencia de explotación en la naturaleza. Meta no vio un aumento en el uso de la función afectada, lo que habría señalado un abuso cibernético.

Para obtener más información sobre redes cibernéticas y sociales, consulte CyberTalk.org cobertura pasada.

Si su organización necesita fortalecer su estrategia de seguridad, asegúrese de asistir al próximo evento CPX 360 de Check Point. Regístrese aquí.

Por último, para recibir noticias, prácticas recomendadas y recursos de ciberseguridad de vanguardia en su bandeja de entrada cada semana, regístrese en el CyberTalk.org boletín de noticias. 

Post Error de Facebook significaba que cualquiera podía omitir 2FA apareció primero en Charla cibernética.



>>Más