האקר "לבן" מצא דרך לפרוץ את האימות הדו שלבי של מטא

האימות הדו שלבי הוא אחת הדרכים היותר נפוצות לאבטח את החשבונות של המשתמשים, בפרט ברשתות חברתיות. רבות מהן אף ממליצות למשתמשים להפעיל את האפשרות הזאת. אלא שהאקר-חוקר מנפאל הוכיח באחרונה שגם האפשרות הזאת לא בטוחה ב-100%.

גטם מנוז מצא כבר בספטמבר האחרון שמטא לא הגבילה במרכז החשבונות החדש שלה את כמות הניסיונות שניתן לבצע כדי להיכנס לחשבון של משתמש כלשהו באמצעות מספר טלפון או כתובת מייל. מטא הוציאה תיקון לפגיעות הזאת חודש לאחר מכן, ואף התייחסה אליו בדו"ח השנתי של תוכנית לכידת הבאגים שלה. החברה שילמה למוצאי הבאגים בתוכנית הזאת מאז שהיא הושקה ב-2011 סכום כולל של 16 מיליון דולר, כאשר שני מיליון מהם שולמו ב-2022 לבדה. מנוז קיבל קצת מהכסף הזה – 27,200 דולר.

לדברי מנוז, הוא גילה את הפגיעות כשנכנס לעמוד האינסטגרם של מרכז החשבונות החדש של מטא, שמאפשר למשתמשים לנהל את החשבונות שלהם בה ובפייסבוק. שם הוא נדרש, כמו כל משתמש, להכניס קוד בן שש ספרות, שניתן לקבל אותו דרך מייל או הודעת SMS, ושמנתב אותו לחשבון האינסטגרם שלו ולחשבון הפייסבוק הקשור אליו. מנוז מצא שאין למערכת שמנפקת את הקודים האלה מגבלה, מה שאומר שההאקרים היו יכולים להכניס כמות גדולה מאוד, בלתי מוגבלת, של קודים, וכך להצליח לפרוץ לחשבון של משתמש שהם רוצים לפרוץ אליו. כל מה שהם היו צריכים הוא את המייל או מספר הטלפון של אותו משתמש.

עוד מצא מנוז שכשהוא הצליח להכניס קוד נכון לחשבון שהוא ניסה לפרוץ אליו, מטא שלחה הודעה לקורבן, שבה נכתב כי בוטלה עבורו אפשרות האימות הדו שלבי, מאחר שמספר הטלפון שלו קושר לחשבון של מישהו אחר. בעקבות ביטול האימות הדו שלבי, האפשרות של ההאקרים לפרוץ לחשבון של הקורבן שלהם נעשתה קלה יותר, ולו באופן תיאורטי, משום שכל מה שהם היו צריכים זה את שם המשתמש והסיסמה שלו.

כאמור, מטא תיקנה את הבאג הזה באוקטובר האחרון. דובר מטעם החברה אמר לטק קראנץ' כי פוטנציאל הפגיעה היה קטן מאוד, וכי חקירה שהיא ביצעה לא גילתה כל ראייה לנזק.