Një problem në sistemin e ri të centralizuar të Meta mund të ketë lejuar hakerat të çaktivizojnë mbrotjen 2-factor authentication të adresave të ndryshme thjesht duke ditur numrin e telefonit të këtyre përdoruesve.
Gtm Manoz zbuloi se Meta nuk kishte vendos një limit tentativash në vendosjen e kodit të gjeneruar për 2FA që përdoret për t’u regjistruar në një adresë në sistemin e ri Meta Accounts Center, ku përdoruesit mund të ndërlidhin adresat e tyre të Instagram me atë të Facebook.
Nëse një haker zotëronte numrin e telefonit të një personi, ai mund të shkonte në Meta Accounts Center, të shkruante numrin e viktimës, ta lidhte këtë numër me adresën e Facebook që zotëronte dhe më pas të përdorte algoritme brute force për të gjetur kodin e duhur.
Sapo hakeri të gjente kodin, numri i telefonit të viktimës do të lidhej me adresën e Facebook të hakerit. Pas sulmit të suksesshëm të hakerit, Facebook do t’i dërgonte një mesazh viktimës ku i tregonte se 2FA ishte çaktivizuar nga adresa e tyre.
“Impakti më i madh nga ky bug ishte çaktivizimi i 2FA thjesht duke ditur numrin e telefonit të një përdoruesi.” tha Manoz.
Nga kjo pikë, hakeri mund të fitonte akses në adresën e viktimës duke përdorur metodën phishing, pasi 2FA nuk është më i aktivizuar.
Meta e rregulloi këtë problem në sistemin e saj, dhe e paguajti Manoz $27,200 për raportimin e tij.
