Un fallo en el Centro de cuentas de Meta, que aúna la gestión de las cuentas de las dos redes sociales de la compañía, ha permitido a los actores maliciosos desactivar la autenticación de dos factores en Facebook de un usuario con solo conocer su número de teléfono.
El investigador en ciberseguridad Gtm Mänôz detectó que Meta no había establecido un número de limitado de intentos para acceder a la cuenta con la autenticación de dos factores mediante SMS activada dentro de la nueva interfaz para el Centro de cuentas.
Por este fallo, un atacante podía, en caso de conocer el número de teléfono de la víctima, vincularlo a su propia cuenta como parte del sistema de dos factores. Al intentar confirmar el cambio, se solicita un código de seis dígitos enviado al móvil, que el atacante no conoce por el momento.
Sin embargo, al no haber límite de intentos, puede iniciar un ataque de fuerza bruta, intentar introducir tantas combinaciones de seis dígitos como pueda hasta dar con la que le permita acceder. En ese momento, lo que ocurre es que el número de teléfono de la víctima se ha logrado vincular con éxito a la cuenta del atacante.
La víctima, por su parte, recibirá una notificación en la que se indica que su número de teléfono se ha desvinculado de su cuenta, ya que forma parte del sistema de autenticación de dos factores de otra persona. Como consecuencia, tendrá la autenticación de dos factores desactivada, lo que le hará más vulnerable a los ataques que intenten acceder a su cuenta.
Mänôz identificó este fallo el año pasado, como explica en su blog en Medium. El 14 de septiembre envió a Meta el informe correspondiente y tras solicitar la ayuda del investigador para reproducirlo, unos días después la compañía tecnológica logró eliminarlo, aunque no fue hasta el 17 de octubre que llegó lo solucionó del todo.