La autenticación de dos factores generalmente se considera una de las mejores formas de proteger su cuenta, pero no es infalible. En un incidente reciente, el investigador de seguridad nepalí Gtm Mänôz descubrió una falla de seguridad en el nuevo sistema centralizado de Meta que podría haber permitido a los hackers maliciosos desactivar la autenticación de dos factores de un usuario de Facebook simplemente conociendo su número de teléfono.
Falla de seguridad en el hub de control de privacidad de Meta
Gtm Mänôz descubrió que la supervisión de los ingenieros de Facebook causó la falla de seguridad en la creación de la función del Centro de cuentas porque no limitaron la cantidad de intentos que un usuario podía hacer al ingresar su código de dos factores. Esto permitió a un atacante vincular el número de teléfono de una víctima a su propia cuenta de Facebook, aplicar fuerza bruta al código SMS de dos factores y deshabilitar la autenticación de dos factores de la víctima.
Una vez que el atacante logró obtener el código correcto, el número de teléfono de la víctima se vinculó a la cuenta de Facebook del atacante. Esto hace que sea mucho más fácil para los atacantes apoderarse de la cuenta, ya que todo lo que tienen que hacer es phishing para obtener la contraseña.
Afortunadamente, Mänôz descubrió la vulnerabilidad antes de que los actores de amenazas la descubrieran y la informaron a Facebook en septiembre. La empresa arregló el error unos días después y otorgó a Mänôz $ 27,200 por informar el error. Según un portavoz de Meta, el sistema de inicio de sesión aún estaba en pruebas preliminares en el momento del error y no había evidencia de abuso en la naturaleza.
A pesar de la rápida resolución del problema, es importante reconocer que las violaciones de seguridad y privacidad relacionadas con el conjunto de aplicaciones de Meta han sido un problema recurrente en los últimos años. Es por eso que siempre es una buena idea actualizar sus contraseñas regularmente y nunca usar la misma contraseña dos veces. Alternativamente, para los usuarios que tienen problemas para recordar sus contraseñas, un administrador de contraseñas como 1Password puede facilitarlo.
