Một lỗi trong một hệ thống do Meta (công ty mẹ của Facebook, Instagram) tạo ra để người dùng quản lý thông tin đăng nhập Facebook và Instagram, có thể cho phép tin tặc tắt tính năng bảo vệ hai yếu tố của tài khoản chỉ bằng cách biết số điện thoại của nạn nhân, TechCrunch cảnh báo.
Cụ thể, Gtm Mänôz - một nhà nghiên cứu bảo mật từ Nepal, nhận ra rằng Meta không thiết lập giới hạn số lần thử khi người dùng nhập mã hai yếu tố được sử dụng để đăng nhập vào tài khoản của họ trên Trung tâm Tài khoản Meta mới. Đây là trung tâm giúp người dùng liên kết tất cả các tài khoản Meta của họ, chẳng hạn như Facebook và Instagram.
Với số điện thoại của nạn nhân, kẻ tấn công sẽ đến trung tâm tài khoản tập trung, nhập số điện thoại của nạn nhân, liên kết số đó với tài khoản Facebook của chính họ, sau đó lấy mã SMS hai yếu tố. Đây là bước quan trọng, vì không có giới hạn tối đa cho số lần thử mà một người có thể thực hiện.
Khi kẻ tấn công lấy đúng mã, số điện thoại của nạn nhân sẽ được liên kết với tài khoản Facebook của kẻ tấn công. Một cuộc tấn công thành công vẫn sẽ dẫn đến việc Meta gửi một tin nhắn cho nạn nhân, nói rằng tính năng hai yếu tố của họ đã bị vô hiệu hóa do số điện thoại của họ được liên kết với tài khoản của người khác.
Mänôz nói với TechCrunch: "Về cơ bản, Ảnh hưởng lớn nhất ở đây là thu hồi tính năng xác thực hai yếu tố khi chỉ cần biết số điện thoại của họ.".
Một email từ Meta gửi tới chủ sở hữu tài khoản cho họ biết, tính năng bảo vệ hai yếu tố của họ đã bị tắt.
Tại thời điểm này, về mặt lý thuyết, kẻ tấn công có thể cố gắng chiếm đoạt tài khoản Facebook của nạn nhân chỉ bằng cách lừa đảo để lấy mật khẩu, với điều kiện là mục tiêu không còn kích hoạt hai yếu tố nữa.
Mänôz đã tìm thấy lỗi này trong Trung tâm Tài khoản Meta vào năm ngoái và đã báo cáo lỗi này cho công ty vào giữa tháng 9. Meta đã sửa lỗi vài ngày sau đó và trả cho Mänôz 27.200 USD tiền thưởng vì đã báo cáo lỗi.
Người phát ngôn của Meta, Gabby Curtis nói với TechCrunch rằng, tại thời điểm xảy ra lỗi, hệ thống đăng nhập vẫn đang ở giai đoạn thử nghiệm trong một nhóm nhỏ. Curtis cũng nói rằng, cuộc điều tra của Meta sau khi lỗi được báo cáo đã phát hiện ra không có bằng chứng về việc khai thác trong thực tế. Và Meta không thấy việc sử dụng tính năng cụ thể đó tăng đột biến, điều này cho thấy thực tế là không có ai lạm dụng nó.