Un investigador ganó una gran recompensa por informar un error grave de omisión de autenticación de dos factores (2FA) en productos Meta. Específicamente, encontró la vulnerabilidad de omisión 2FA en Instagram que también podría afectar las cuentas de Facebook vinculadas. Meta solucionó el problema después del informe de error.
Compartiendo los detalles en una publicación de blog, el investigador Gtm Mänôz reveló la vulnerabilidad de omisión 2FA en Facebook e Instagram que descubrió el año pasado.
Como se reveló, sintió curiosidad luego de una invitación de Meta con respecto a un BountyCon 2022 y quería encontrar algo interesante para el evento de piratería en vivo.
Así que echó un vistazo al nuevo diseño de Instagram para el «Centro de cuentas meta». Permitió agregar un correo electrónico o un número de teléfono a la sección de información personal de Instagram y la cuenta de Facebook vinculada, luego de verificar una OTP de 6 dígitos.
Aquí, Mänôz descubrió la falta de una función de limitación de velocidad, lo que permitía a un adversario agregar un número de teléfono ya verificado a una cuenta de Facebook/Instagram objetivo.
Para explotar la falla, un atacante solo tenía que forzar el código de confirmación para vincular su número de teléfono deseado a la cuenta de destino. Si tiene éxito, dicha adición deshabilitaría 2FA para la cuenta de la víctima, ya que el atacante obtendría los detalles de la víctima vinculados a su propia cuenta.
El investigador explicó los pasos para reproducir el error en su publicación.
Luego de descubrir la vulnerabilidad, el investigador la reportó a los funcionarios del Meta. En respuesta, Meta confirmó el problema de «omisión de verificación de punto de contacto» para Instagram. Y otorgó el premio.
En este punto, el investigador tuvo que convencer a los funcionarios del Meta para que otorgaran la recompensa de acuerdo con su política de considerar el máximo impacto potencial. Finalmente, el gigante tecnológico le otorgó una recompensa de $ 27,000 según las nuevas pautas de pago.
Además, Meta marcó este descubrimiento entre los errores más impactantes informados en 2022 en su descripción general del programa Bug Bounty 2022.
Háganos saber sus pensamientos en los comentarios.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…