За хаковање Facebook шифре довољно знати број телефона жртве
Аналитичар безбједности у сајбер свијету познат по надимку GTM Маноз схватио је да инжењери компаније Мета нису јасно дефинисали број покушаја уношења кода приликом двофакторске аутентификације.
Овакав безбједносни поступак употребљава се приликом пријаве корисника у оквиру новог Мetа Аccounts центра. Иницијални циљ новог сервиса био је повезивање јединствених налога на друштвеним мрежама Facebook и Instagram.
Хакеру је за превару довољно да зна број телефона жртве. Број се уноси у предвиђено поље које се налази у оквиру Мetа Аccounts центра, а потом га хакер повезује са сопственим Facebook налогом. Затим покушава да добије приступ насумичним уписом кода за двоструку аутентификацију. Овај корак у обмани је кључан, јер Мета инжењери нису ограничили број покушаја уписа кода које би хакер могао направити.
Када хакер погоди валидни код (без обзира колико овај поступак може трајати), телефон жртве је повезан са Facebook налогом нападача. Мета ће тада обавијестити оштећеног корисника да је двострука аутентификација немогућа, јер је број телефона корисника повезан са туђим налогом. Каснији расплет догађаја може бити веома неизвијестан, јер корисник више нема контролу над својим профилом, пише ТеchKrunch.
"У суштини, главни корак у хаковању налога био је раскид везе између броја телефона и Facebook налога заснован на двофакторској аутентификацији", објашњава Маноз.
Послије успешног извођења главног корака, нападач би могао да преузме налог жртве фишингом, при чему би преваром натјерао корисника да открије лозинку. Тада би профил превареног Facebook корисника потпуно дошао у посјед хакера, преноси Benchmark.
Пратите нас на нашој Фејсбук и Инстаграм страници и Твитер налогу.
