INNPoland_avatar

Facebook z luką w zabezpieczeniach. Hakerzy mogli wyłączyć wam logowanie

Dagmara Kottke

31 stycznia 2023, 12:03 · 3 minuty czytania
NA Facebooku i Instagramie przez pewien czas można było wyłączyć weryfikację dwuskładnikową na koncie innej osoby. Wszystko, co trzeba było mieć, by to zrobić, to numer telefonu tego użytkownika.


Facebook z luką w zabezpieczeniach. Hakerzy mogli wyłączyć wam logowanie

Dagmara Kottke
31 stycznia 2023, 12:03 • 1 minuta czytania
NA Facebooku i Instagramie przez pewien czas można było wyłączyć weryfikację dwuskładnikową na koncie innej osoby. Wszystko, co trzeba było mieć, by to zrobić, to numer telefonu tego użytkownika.
Facebook miał problem z zabezpieczeniami logowania dwufazowego. AA/ABACA/Abaca/East News
Więcej ciekawych artykułów znajdziesz na stronie głównej
  • W systemie zabezpieczeń Facebooka i Instagrama znajdowała się luka, która pozwalała hakerom wyłączyć logowanie F2A w atakowanym koncie
  • Aby to było możliwe, haker potrzebował jedynie znać numer telefonu użytkownika
  • Problem rozwiązano kilka dni po zgłoszeniu

Uwierzytelnianie dwuskładnikowe zakłada dwukrotne sprawdzanie, czy dana osoba jest tą, za którą podaje się podczas logowania do danego systemu czy aplikacji. W teorii takie potwierdzanie tożsamości użytkownika utrudnia włamanie się na czyjeś konto. Jednak i na ten rodzaj zabezpieczeń hakerzy mają swoje sposoby.

Gtm Mänôz, pracownik ds. cyberbezpieczeństwa w Nepalu, zwrócił uwagę na lukę w zabezpieczeniach systemowych Facebooka i Instagrama. Podobno luka umożliwia mało wprawionemu hakerowi wyłączyć weryfikację dwuskładnikową na koncie danej osoby.

I po kłopocie

Aby to zrobić, przestępca musiał jedynie znać numer telefonu konkretnego użytkownika. Wtedy wystarczyło wejść do centrum kont i przy użyciu metody brute force spróbować przypisać obcy numer do swojego konta. A to było możliwe dlatego, że Meta nie założyła limitów na liczbę prób dla wprowadzania jednorazowego hasła SMS.

Jeśli to się udało, użytkownik, do którego konta dobrał się haker, otrzymywał informację o wyłączeniu uwierzytelniania dwuskładnikowego w jego koncie na Facebooku lub Instagramie. Później wystarczyło już tylko ukraść hasło – na przykład metodą phishingową – i haker przejmował konto.

Gtm Mänôz zauważył ten problem w drugiej połowie 2022 i zgłosił go Mecie. Firma wypłaciła mu 27,2 tysięcy dolarów nagrody. Problem rozwiązano po kilku dniach od zgłoszenia i wspomniana opcja nie jest już aktywna.

Nie zmienia to jednak faktu, że wspomniana luka w zabezpieczeniach istniała przez pewien czas w portalach Marka Zuckerberga, narażając użytkowników na włamania.

Facebook celowo rozładowuje baterie w telefonach

A jeśli chodzi o inne wieści na temat Facebooka, to wczoraj pisaliśmy chociażby o tym, że firma najprawdopodobniej celowo używa swoich aplikacji do przeciążania urządzeń mobilnych, by smartfony i tablety rozładowywały się szybciej.

Dzięki takim praktykom Facebook może podobno testować działanie i funkcje swoich programów. Tak przynajmniej twierdzi jeden z byłych pracowników firmy, który miał zostać zwolniony za odmówienie przeprowadzania takich testów.

Czytaj także: https://innpoland.pl/187975,awaria-facebooka-jedna-z-niedzialajacych-funkcji-jest-dodawanie-postow

W listopadzie 2022 informowaliśmy też o masowych cięciach etatów w przedsiębiorstwie Marka Zuckerberga. Wtedy internet obiegła informacja, że z Facebooka zmuszonych jest odejść 11 tysięcy osób. To stanowi 13 procent kadry (firma zatrudniała wówczas 87 tysięcy pracowników).

Facebook i jego problemy

Zresztą Facebook boryka się z różnymi problemami już od dłuższego czasu. I tak chociażby na początku 2022 pisaliśmy o jego słabych wynikach na giełdzie. Wówczas notowania przedsiębiorstwa spadły o 20 procent w dół – po raz pierwszy w swojej historii zanotowało ono spadek liczby użytkowników.

Natomiast niedawno mogliśmy przeczytać o tym, że Meta została ukarana grzywną o wysokości prawie 400 milionów dolarów. Irlandzka Komisja Ochrony Danych uznała, że przedsiębiorstwo narusza politykę prywatności – w tym RODO.