A autenticação de dois fatores geralmente é considerada uma das melhores maneiras de proteger sua conta, mas não é infalível. Em um incidente recente, o pesquisador de segurança nepalês Gtm Mänôz descobriu uma falha de segurança no novo sistema centralizado da Meta que poderia permitir que hackers maliciosos desligassem a autenticação de dois fatores de um usuário do Facebook simplesmente sabendo seu número de telefone.
Falha de segurança no hub de controle de privacidade do Meta
Gtm Mänôz descobriu que o descuido dos engenheiros do Facebook causou a falha de segurança ao criar o recurso Accounts Center, pois eles falharam em limitar o número de tentativas que um usuário poderia fazer ao inserir seu código de dois fatores. Isso resultou em um invasor capaz de vincular o número de telefone da vítima à sua própria conta do Facebook, usar força bruta no código SMS de dois fatores e desativar a autenticação de dois fatores da vítima.
Depois que o invasor conseguiu obter o código correto, o número de telefone da vítima foi vinculado à conta do invasor no Facebook. Tornando assim muito mais fácil para os invasores assumirem o controle da conta, pois eles precisariam apenas phishing para obter a senha.
Felizmente, Mänôz descobriu a falha de segurança antes de qualquer agente de ameaça e a denunciou ao Facebook em setembro. A empresa corrigiu o bug alguns dias depois e concedeu a Mänôz $ 27.200 por relatar o bug. De acordo com um porta-voz da Meta, o sistema de login ainda estava em seus estágios iniciais de teste no momento do bug e não havia evidências de exploração em estado selvagem.
Apesar da rápida resolução do problema, é importante reconhecer que as violações de segurança e privacidade envolvendo o conjunto de aplicativos da Meta têm sido uma preocupação recorrente nos últimos anos. Portanto, é sempre uma boa ideia atualizar regularmente suas senhas e nunca usar a mesma senha duas vezes. Como alternativa, para os usuários que têm problemas para lembrar suas senhas, um gerenciador de senhas como o 1Password pode facilitar isso.