PIXEL FACEBOOK
logo-blanco

Grave vulnerabilidad de omisión de 2FA afecta a Facebook e Instagram

Lo que vas a encontrar...

Un investigador ganó una gran recompensa por informar un error grave de omisión de autenticación de dos factores (2FA) en productos Meta. Específicamente, encontró la vulnerabilidad de omisión 2FA en Instagram que también podría afectar las cuentas de Facebook vinculadas. Meta solucionó el problema después del informe de error.

La vulnerabilidad de omisión de 2FA en Instagram también podría afectar a Facebook

Compartiendo los detalles en una publicación de blog, el investigador Gtm Mänôz reveló la vulnerabilidad de omisión 2FA en Facebook e Instagram que descubrió el año pasado.

Como se reveló, sintió curiosidad luego de una invitación de Meta con respecto a un BountyCon 2022 y quería encontrar algo interesante para el evento de piratería en vivo.

Así que echó un vistazo al nuevo diseño de Instagram para el «Centro de cuentas meta». Permitió agregar un correo electrónico o un número de teléfono a la sección de información personal de Instagram y la cuenta de Facebook vinculada, luego de verificar una OTP de 6 dígitos.

Aquí, Mänôz descubrió la falta de una función de limitación de velocidad, lo que permitía a un adversario agregar un número de teléfono ya verificado a una cuenta de Facebook/Instagram objetivo.

Para explotar la falla, un atacante solo tenía que forzar el código de confirmación para vincular su número de teléfono deseado a la cuenta de destino. Si tiene éxito, dicha adición deshabilitaría 2FA para la cuenta de la víctima, ya que el atacante obtendría los detalles de la víctima vinculados a su propia cuenta.

El investigador explicó los pasos para reproducir el error en su publicación.

Error solucionado – Bug Bounty otorgado

Luego de descubrir la vulnerabilidad, el investigador la reportó a los funcionarios del Meta. En respuesta, Meta confirmó el problema de «omisión de verificación de punto de contacto» para Instagram. Y otorgó el premio.

En este punto, el investigador tuvo que convencer a los funcionarios del Meta para que otorgaran la recompensa de acuerdo con su política de considerar el máximo impacto potencial. Finalmente, el gigante tecnológico le otorgó una recompensa de $ 27,000 según las nuevas pautas de pago.

Además, Meta marcó este descubrimiento entre los errores más impactantes informados en 2022 en su descripción general del programa Bug Bounty 2022.

Háganos saber sus pensamientos en los comentarios.

Fuente

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos