Contacto
Links
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
Un investigador ha revelado los detalles de una vulnerabilidad de autenticación de dos factores (2FA) que le valió una recompensa de $ 27,000 de la empresa matriz de Facebook, Meta.
Gtm Manoz de Nepal descubrió en septiembre de 2022 que un sistema diseñado por Meta para confirmar un número de teléfono y una dirección de correo electrónico no tenía ninguna protección de limitación de velocidad.
Meta implementó una solución en octubre de 2022 y la compañía destacó los hallazgos de Manoz en su informe anual del programa de recompensas por errores . El gigante tecnológico ha pagado más de $16 millones a través de su programa desde 2011, con $2 millones otorgados en 2022.
En una publicación de blog publicada a principios de este mes, Manoz dijo que descubrió la vulnerabilidad mientras analizaba una nueva página del Centro de Meta Cuentas en Instagram. Aquí, los usuarios pueden agregar una dirección de correo electrónico y un número de teléfono a su cuenta de Instagram y la cuenta de Facebook vinculada a su Instagram. Para verificar la dirección de correo electrónico y el número de teléfono, los usuarios deben ingresar un código de seis dígitos recibido por correo electrónico o SMS.
El análisis del investigador reveló que el sistema que verificaba el código de seis dígitos no tenía límite de velocidad, lo que podría haber permitido que un atacante ingresara todos los códigos posibles hasta que obtuviera el correcto.
Específicamente, un pirata informático habría necesitado saber el número de teléfono asignado por el usuario objetivo a su cuenta de Instagram y Facebook. Al explotar la vulnerabilidad, el atacante podría haber obtenido el código de verificación de seis dígitos a través de un ataque de fuerza bruta y haber asignado el número de teléfono de la víctima a una cuenta que controlaba.
Esto resultó en la eliminación del número de teléfono de la cuenta de Facebook e Instagram de la víctima y la desactivación de 2FA por razones de seguridad: si otro usuario verifica un número de teléfono, ese usuario recibirá el SMS que contiene el código 2FA, y Meta está intentando para prevenir eso.
Manoz mostró que los usuarios de Facebook recibieron una notificación cuando su número de teléfono fue eliminado debido a que fue verificado por otra persona.
Con base en el impacto potencial máximo de la vulnerabilidad, Meta decidió pagar $27,200 por los hallazgos del investigador.
Sobre Nosotros
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.