Uma vulnerabilidade de desvio de autenticação de dois fatores (2FA) que afeta o Instagram e o Facebook deu a um pesquisador, merecidamente, uma alta recompensa por descobrir e detalhar a falha.
Pesquisador ganha recompensa por descobrir e detalhar vulnerabilidade 2FA no Instagram e Facebook
O pesquisador Gtm Manoz recebeu uma recompensa de bug de $ 27.000 (pouco mais de R$ 138.000,00) por ter relatado uma vulnerabilidade de desvio de autenticação de dois fatores que afeta os dois aplicativos da Meta. A falha reside em um componente usado pela empresa-mãe Meta para confirmar um número de telefone e endereço de e-mail.
Os pesquisadores notaram que o software não implementava um mecanismo de proteção de limitação de taxa que lhe permitisse ignorar a autenticação de dois fatores no Facebook, confirmando o número de celular do Facebook já confirmado do usuário-alvo usando o Meta Accounts Center.
Manoz relatou a falha à Meta em setembro de 2022 e a empresa a abordou em outubro de 2022.
2FA Bypass – Também corrigimos um bug relatado por Gtm Mänôz do Nepal, que poderia permitir que um invasor contornasse o 2FA baseado em SMS explorando um problema de limitação de taxa para força bruta o PIN de verificação necessário para confirmar o número de telefone de alguém. Concedemos uma recompensa de $ 27.200 por este relatório.
O pesquisador notou uma seção de dados pessoais no Meta Accounts Center que permitia aos usuários adicionar um e-mail e número de telefone tanto no Instagram quanto na conta vinculada do Facebook, o que pode ser verificado fornecendo um código de 6 dígitos recebido no e-mail/telefone.
Mänôz notou a falta de proteção de limite de taxa, permitindo que qualquer pessoa confirme e-mail e número de telefone desconhecidos/conhecidos tanto no instagram quanto nas contas vinculadas do facebook.
A gravidade do problema
A vulnerabilidade permite que o invasor, com o conhecimento do número de telefone da vítima associado à sua conta do Instagram e do Facebook, realize um ataque de força bruta no código de 6 dígitos e, em seguida, use o código para atribuir o número de telefone da vítima a uma conta sob seu controle.
Ao desvincular o número de telefone da vítima de sua conta do Facebook e Instagram, o 2FA é desativado por motivos de segurança. “E, se o número de telefone foi parcialmente confirmado, ou seja, usado apenas para 2FA, ele revogará o 2FA e também o número de telefone será removido da conta da vítima.” conclui o relatório.
Como o ponto de extremidade que verifica os pontos de contato (email/telefone) no instagram e as contas vinculadas do facebook era o mesmo, consegui ignorar a verificação dos pontos de contato (email/telefone) desconhecidos e já registrados no instagram e no facebook (incapaz de adicionar já existia e-mail no fb).