Facebook, Instagram i problemy z autoryzacją opartą na kodach SMS. Ponad 100 tys. zł nagrody dla etycznego hakera
Uwierzytelnianie dwuskładnikowe (często skracane do pochodzącego od terminu "Two-Factor Authentication" 2FA) na stałe zagościło przy logowaniu się do wszelkich usług internetowych podwyższonego ryzyka. Nie oznacza to jednak końca mniej lub bardziej spektakularnych włamań na konta serwisów społecznościowych. W dalszym ciągu powstają coraz wymyślniejsze metody phishingowe lub sposoby na sprytne ominięcie zabezpieczenia na poziomie technicznym.
Do tej pory do ataku niezbędny był numer telefonu ofiary. Z jego pomocą istniała możliwość deaktywacji dwuskładnikowego uwierzytelnienia w centrum zarządzania hasłami do kont Mety. Szczęśliwie luka została załatana przed oznakami eksploatacji błędu przez osoby niepowołane.
![Facebook, Instagram i problemy z autoryzacją opartą na kodach SMS. Ponad 100 tys. zł nagrody dla etycznego hakera [1]](/image/news/2023/01/31_facebook_instagram_i_problemy_z_autoryzacja_oparta_na_kodach_sms_ponad_100_tys_zl_nagrody_dla_etycznego_hakera_0_b.jpg)
Wyciek danych z Facebooka. Ofiarą padły informacje o 533 milionach użytkowników popularnego serwisu społecznościowego
Nepalski badacz bezpieczeństwa, Gtm Mänôz, odkrył w 2022 poważną lukę w zabezpieczeniach centrum Mety związaną z 2FA. Na czym polegał błąd administratorów serwisu? Osoby odpowiedzialne nie wprowadziły limitu prób wprowadzenia kodów SMS. To z kolei pozwalało na zastosowanie metody brute force przy ustalaniu kombinacji cyfr otwierającej dostęp. Z uwagi na obecność samych cyfr oraz krótki charakter kodów SMS liczba możliwości nie była duża (w innym przypadku metoda brute force byłaby nieskuteczna - polega ona bowiem na wpisywaniu wszystkich możliwych kombinacji po kolei na podstawie wybranego zakresu). W tym momencie system wyłączał uwierzytelnienie dwuskładnikowe i wystarczyło znać hasło użytkownika. Gtm Mänôz za swoje odkrycie otrzymał ponad 27 tysięcy dolarów amerykańskich nagrody. Według władz Mety, luka nie została wykorzystana (tej deklaracji nie jesteśmy w stanie zweryfikować).
![Facebook, Instagram i problemy z autoryzacją opartą na kodach SMS. Ponad 100 tys. zł nagrody dla etycznego hakera [2]](/image/news/2023/01/31_facebook_instagram_i_problemy_z_autoryzacja_oparta_na_kodach_sms_ponad_100_tys_zl_nagrody_dla_etycznego_hakera_1_b.jpg)
Facebook wprowadza obsługę fizycznych kluczy bezpieczeństwa dla urządzeń mobilnych z Androidem i iOS
Przy okazji godzi się wspomnieć o alternatywnych metodach weryfikacji dwuetapowej, które nie podlegają takim zagrożeniom - mowa o kluczach U2F (Universal 2nd Factor). Meta pozwala na ich użytkowanie od początków 2021 roku. Są to fizyczne urządzenia zewnętrzne wyposażone w USB lub technologie bezprzewodowe, na przykład NFC (często posiadające dodatkową warstwę zabezpieczeń pod postacią kodu PIN lub biometrii) - przykładem mogą być popularne w Polsce klucze Yubikey. Są odporne na metody phishingowe (przynajmniej na odległość) oraz cechują się znacznie wyższym poziomem bezpieczeństwa informatycznego niż kody SMS (dane pozostają zaszyfrowane i nie są bezpośrednio wpisywane, co jest istotne w przypadku keyloggerów).
Powiązane publikacje
Prywatność na Discordzie nie istnieje. Platforma Spy Pet śledzi miliony użytkowników i sprzedaje o nich informacje
19
DuckDuckGo Privacy Pro - nadchodzi pierwsza subskrypcja firmy, która pozwoli jeszcze bardziej chronić prywatność
16
Procesory Apple M1, M2 i M3 z poważną luką bezpieczeństwa, która może umożliwić kradzież kluczy kryptograficznych
30
Twórcy zabezpieczenia antypirackiego Denuvo prezentują nowe rozwiązanie. TraceMark pozwoli na namierzenie leakerów
106
