Facebook, Instagram i problemy z autoryzacją opartą na kodach SMS. Ponad 100 tys. zł nagrody dla etycznego hakera

Uwierzytelnianie dwuskładnikowe (często skracane do pochodzącego od terminu "Two-Factor Authentication" 2FA) na stałe zagościło przy logowaniu się do wszelkich usług internetowych podwyższonego ryzyka. Nie oznacza to jednak końca mniej lub bardziej spektakularnych włamań na konta serwisów społecznościowych. W dalszym ciągu powstają coraz wymyślniejsze metody phishingowe lub sposoby na sprytne ominięcie zabezpieczenia na poziomie technicznym.

Do tej pory do ataku niezbędny był numer telefonu ofiary. Z jego pomocą istniała możliwość deaktywacji dwuskładnikowego uwierzytelnienia w centrum zarządzania hasłami do kont Mety. Szczęśliwie luka została załatana przed oznakami eksploatacji błędu przez osoby niepowołane.

Wyciek danych z Facebooka. Ofiarą padły informacje o 533 milionach użytkowników popularnego serwisu społecznościowego

Nepalski badacz bezpieczeństwa, Gtm Mänôz, odkrył w 2022 poważną lukę w zabezpieczeniach centrum Mety związaną z 2FA. Na czym polegał błąd administratorów serwisu? Osoby odpowiedzialne nie wprowadziły limitu prób wprowadzenia kodów SMS. To z kolei pozwalało na zastosowanie metody brute force przy ustalaniu kombinacji cyfr otwierającej dostęp. Z uwagi na obecność samych cyfr oraz krótki charakter kodów SMS liczba możliwości nie była duża (w innym przypadku metoda brute force byłaby nieskuteczna - polega ona bowiem na wpisywaniu wszystkich możliwych kombinacji po kolei na podstawie wybranego zakresu). W tym momencie system wyłączał uwierzytelnienie dwuskładnikowe i wystarczyło znać hasło użytkownika. Gtm Mänôz za swoje odkrycie otrzymał ponad 27 tysięcy dolarów amerykańskich nagrody. Według władz Mety, luka nie została wykorzystana (tej deklaracji nie jesteśmy w stanie zweryfikować).

Facebook wprowadza obsługę fizycznych kluczy bezpieczeństwa dla urządzeń mobilnych z Androidem i iOS

Przy okazji godzi się wspomnieć o alternatywnych metodach weryfikacji dwuetapowej, które nie podlegają takim zagrożeniom - mowa o kluczach U2F (Universal 2nd Factor). Meta pozwala na ich użytkowanie od początków 2021 roku. Są to fizyczne urządzenia zewnętrzne wyposażone w USB lub technologie bezprzewodowe, na przykład NFC (często posiadające dodatkową warstwę zabezpieczeń pod postacią kodu PIN lub biometrii) - przykładem mogą być popularne w Polsce klucze Yubikey. Są odporne na metody phishingowe (przynajmniej na odległość) oraz cechują się znacznie wyższym poziomem bezpieczeństwa informatycznego niż kody SMS (dane pozostają zaszyfrowane i nie są bezpośrednio wpisywane, co jest istotne w przypadku keyloggerów).