Хакер научился перехватывать код подтверждения для входа в Facebook*

Речь идёт о сервисе Meta Accounts Center, позволяющем объединять аккаунты в Facebook, Instagram* и на других площадках компании. В сервисе можно настроить не только общие параметры входа, но и другие функции вроде кросс-сервисной публикации контента.

Как раз в системе двухфакторной авторизации этого сервиса Маноз и нашёл опасную уязвимость. Оказалось, что между попытками ввода шестизначного кода подтверждения авторизации из SMS-сообщения или электронной почты отсутствует таймаут.

Поэтому, если злоумышленник знает логин, пароль и номер телефона жертвы, то может перейти на страницу Meta Accounts Center, ввести нужные ему данные и заняться брутфорсом — подбором нужной комбинации методом перебора проверочного кода с помощью специального бота. Подобрав нужный код, мошенник может получить доступ ко всем сервисам жертвы в экосистеме Meta.

Непальский хакер сообщил об этой находке Meta летом 2022 года. Но уязвимость была исправлена недавно, в январе 2023 года.

* организация признана экстремистской, её деятельность запрещена на территории России.