A Meta új funkciójával könnyedén össze lehet kapcsolni az Instagram és Facebook-fiókokat, azonban egy biztonsági kutató durva hibát talált a rendszerben.
A nepáli Gtm Mänôz által kiszúrt hiba lehetővé tette, hogy a hackerek kikapcsolják a kétfaktoros védelmet, és már a telefonszám ismerete elegendő volt ahhoz, hogy megtörténjen a baj.
A biztonsági kutató szerint a Facebook ott rontotta el, hogy nem állított be felső próbálkozási korlátot, amikor egy felhasználó beírta a bejelentkezéshez használatos kétfaktoros hitelesítési kódot az új Meta Accounts Centerben, tehát bármeddig lehetett próbálkozni.
Amint valaki eltalálta a kódot, a támadó összekapcsolhatta az áldozat telefonszámát a saját (a támadó) Facebook-fiókjával, és a brute force nevű technikával könnyedén „megfejthette“ az áldozat telefonjára érkezett sms-t (ez gyakorlatilag minden lehetséges variációt végigpróbál.) Ezt követően tehát az áldozat telefonszáma a támadó fiókjához volt rendelve, akinél kikapcsolódott a kétfaktoros hitelesítés, nagyban megkönnyítve így a fiók feltörését, amihez már csak a jelszót kellett kitalálni egy adathalász támadással.
Gtm Mänôz még tavaly szeptemberben jelentette a hibát a vállalatnak, amiért 27 200 dollár (közel 10 millió forint) ütötte a markát. A Meta néhány napon belül kijavította a bugot, a vállalat szóvivője, Gabby Curtis pedig később elmondta: a bejelentkezési rendszer még csak egy kisebb nyilvános tesztelési stádiumában volt, és a vizsgálatok alapján nem valószínű, hogy visszaéltek volna vele.
