كشف باحث أمني أن ثغرة في نظام مركزي جديد أنشأته شركة ميتا لتمكين المستخدمين من إدارة عمليات تسجيل الدخول الخاصة بهم إلى خدمتي فيسبوك وإنستاجرام، سمحت للقراصنة بإيقاف المصادقة الثنائية لحساب الضحية إن عُرف عنوان البريد الإلكتروني أو رقم الهاتف.
وأدرك الباحث الأمني (Gtm Mänôz) من نيبال أن ميتا لم تضع حدًّا لمحاولات إدخال رمز المصادقة الثنائية المُستخدَم لتسجيل الدخول إلى الحسابات في مركز الحسابات الجديد (Meta Accounts Center)، الذي يُستخدم لمساعدة المستخدمين على ربط حسابات ميتا الخاصة بهم جميعها، مثل: فيسبوك، وإنستاجرام.
وبمعرفة رقم الهاتف أو عنوان البريد الإلكتروني للضحية، يمكن للمهاجم التوجه إلى مركز الحسابات، ثم إدخال رقم الهاتف الخاص بالضحية، ثم يربط هذا الرقم بحسابه على فيسبوك، ثم يطلب رمز المصادقة الثنائية الذي يأتي عن طريق الرسائل النصية القصيرة (SMS). ولعدم وجود حد أقصى لمحاولات إدخال الرمز، فإن تمكّن المهاجم من تخمين الرمز، فسيرتبط هاتف الضحية بحساب المهاجم على فيسبوك، وبذلك تتعطل المصادقة الثنائية في حساب الضحية على فيسبوك.
وحتى لو نجح الهجوم في ربط هاتف الضحية بحساب المهاجم، فإن ميتا سترسل رسالة إلى الضحية، تفيد بأنه المصادقة الثنائية قد عُطِّلت لأن رقم هاتفه ارتبط بحساب شخص آخر.
موضوعات ذات صلة بما تقرأ الآن:
وفي هذه المرحلة، من الناحية النظرية، يمكن للمهاجم محاولة الاستيلاء على حساب الضحية على فيسبوك فقط عن طريق التصيد الاحتيالي لكلمة المرور، وذلك بالنظر إلى أن حساب الضحية لم يعد محميًا بالمصادقة الثنائية.
واكتشف (Mänôz) الخطأ في مركز الحسابات لميتا العام الماضي، وأبلغ الشركة عنه في منتصف سبتمبر. أصلحت Meta الخطأ بعد شهر، ودفعت للباحث 27,200 دولار أمريكي للإبلاغ عن الثغرة.
ليس من الواضح ما إذا كان أي متسللين ضارين قد عثروا أيضًا على الخطأ واستغلوه قبل أن يصلحه فيسبوك.
