Meta geçtiğimiz aylarda kullanıcılarının hesap güvenliğini artırmak için bir güncelleme yayınlamıştı. Facebook ve Instagram hesapları için 2 faktörlü koruma sistemini geliştiren Meta’nın bu güncellemesi sonrası hesaplar aslında daha da güvensiz hale gelmişti. Bir hacker sayesinde bu hatadan çabuk dönüldü.
TELEFON NUMARASINI BİLMESİ YETERLİYDİ!
Bilgisayar korsanlarının sistemdeki bir hata sayesinde yalnızca kişinin telefon numarasını bilerek bir hesabın iki faktörlü korumalarını kapatabildiği ortaya çıktı!
SİSTEMDEKİ AÇIĞI BULDU
Nepal'den bir güvenlik araştırmacısı olan Gtm Mänôz, kullanıcıların Facebook ve Instagram gibi tüm hesaplarını birbirine bağlamasına izin veren yeni Meta Hesap Merkezi'nde giriş yapmak için kullanılan iki faktörlü kod girildiğinde, Meta'nın bir deneme sınırı koymadığını fark etti. Bu da sistemdeki çok büyük bir açık olarak göze çarpıyor.
DENEME SINIRI YOKTU
Bir kullanıcının telefon numarasıyla, bilgisayar korsanları merkezi hesaplar merkezine giriş yaparak, esas kullanıcının (kurban) telefon numarasını girer, bu numarayı kendi Facebook hesabına bağlar ve ardından iki faktörlü SMS kodunu kendisine gelmesine zorlayabiliyordu. Bu çok önemli bir hata olarak göze çarpıyor çünkü Meta’nın güncellemesinde birinin yapabileceği girişimlerin miktarında bir üst sınır yoktu. Elbette başarılı bir saldırı sonrasında Meta’nın gerçek kullanıcının telefon numarasına iki faktörün devre dışı kaldığına ve başka birisinin hesabına bağlandığına dair mesaj atmasına sebep oluyor elbette. Ancak bu dakikadan sonra her şey çok geç olabilir.
HATAYI META’YA BİLDİRDİ 27 BİN DOLAR ALDI
Mänôz, sistemdeki Meta Hesaplar Merkezi'nde bu hatayı bulmasının ardından şirkete bildirdi. Meta birkaç gün sonra hatayı düzelterek, hatayı bildirmesi dolayısıyla Mänôz'a 27.200 dolar ödedi.
Gönder