Questo articolo è stato pubblicato da questo sito
Poco meno di due settimane fa Meta ha lanciato una novità piuttosto interessante per i suoi utenti: l’Accounts Center, un sistema di gestione centralizzato che permette di accedere agli account Facebook e Instagram da un unico luogo. Ma siamo abbastanza certi che mai si sarebbe immaginata che, così facendo, avrebbe potuto mettere in pericolo milioni di utenti. A quanto pare, invece, un bug del sistema avrebbe permesso agli hacker di bypassare l’autenticazione a due fattori di un account semplicemente conoscendone il numero di telefono.
Gtm Mänôz, pseudonimo di un ricercatore di sicurezza del Nepal, si è reso conto che Meta non aveva impostato un limite massimo di tentativi quando l’utente veniva chiamato ad inserire il codice a due fattori utilizzato per accedere ai propri account nel nuovo Accounts Center. Questo significa che un hacker in possesso del numero di cellulare di una potenziale vittima poteva tranquillamente collegarlo al proprio account Facebook, e poi provare a forzare l’autenticazione a due fattori tramite SMS. E considerato che non c’era un limite massimo di tentativi, questo avrebbe permesso ai malintenzionati di tentare l’accesso fino a quando non ci fossero effettivamente riusciti.
Una volta ottenuto il codice, l’account della vittima sarebbe finito completamente nelle mani dei cybercriminali. E il povero utente avrebbe ricevuto in cambio un messaggio di Meta che lo informava che l’autenticazione a due fattori era stata violata e qualcun altro era entrato in possesso del suo account – il che deve essere tutt’altro che piacevole -. “Fondamentalmente l’impatto maggiore qui è stato revocare il 2FA basato su SMS di chiunque solo conoscendo il numero di telefono”, ha raccontato Mänôz.
Fortunatamente, l’intervento del ricercatore si è rivelato utilissimo. Mänôz ha trovato il bug nel Meta Accounts Center lo scorso anno, e lo ha subito segnalato alla compagnia. Come potete immaginare, Meta si è mossa per correggere l’errore in un paio di giorni appena, pagando al ricercatore ben $ 27.200 per la (gentile) segnalazione. In questo modo Facebook ha evitato quella che poteva essere davvero una catastrofe per la sua sicurezza. Anche se il portavoce di Meta, Gabby Curtis, ha dichiarato che al momento del bug il sistema di accesso era ancora nella fase di un piccolo test pubblico. Al di là di questo, non sembrerebbero esserci stato evidenze che potessero dimostrare che qualcuno avesse davvero abusato del bug. Quindi, sì, la falla c’era, ma Meta è riuscita a “chiuderla” prima che qualcuno potesse accorgersene.
