27.02.2023 Скопје
Безбедносен аналитичар во сајбер светот познат по прекарот Џи-ти-ем Маноз сфатил дека инженерите на Мета не го дефинирале јасно бројот на обиди за внесување на кодот за време на двојната автентикација.
Оваа безбедносна процедура се користи при регистрација на корисник во новиот центар за Мета сметки. Првичната цел на новата услуга беше поврзување уникатни сметки на социјалните мрежи Фејсбук и Инстаграм.
Доволно е хакерот да го знае телефонскиот број на жртвата за измама. Бројот се внесува во даденото поле кое се наоѓа во центарот на Meta Accounts, а потоа хакерот го поврзува со сопствената сметка на Фејсбук. Потоа се обидува да добие пристап со внесување случаен двофакторски код за автентикација. Овој чекор во измамата е клучен, бидејќи инженерите на Мета не го ограничија бројот на обиди за внесување код што може да ги направи хакерите.
Откако хакерот ќе погоди валиден код (без разлика колку долго може да трае овој процес), телефонот на жртвата е поврзан со сметката на Фејсбук на напаѓачот. Мета потоа ќе го информира засегнатиот корисник дека е невозможна двојна автентикација, бидејќи телефонскиот број на корисникот е поврзан со туѓа сметка. Последователното расплет на настани може да биде многу неизвесно, бидејќи корисникот повеќе нема контрола врз својот профил, пишува TechCrunch.
„Во суштина, главниот чекор во хакирањето на сметката беше прекинување на врската помеѓу телефонскиот број и сметката на Фејсбук врз основа на двојна автентикација“, објаснува Маноз.
Откако успешно ќе го изврши главниот чекор, напаѓачот може да ја преземе сметката на жртвата со фишинг, при што ќе го измами корисникот да ја открие лозинката. Тогаш профилот на измамениот корисник на Фејсбук би бил целосно во посед на хакерот.
Подготвено од А.Ѓ.