Meta ha reso noti i particolari di una vulnerabilità a carico del sistema di autenticatori a due fattori che affliggeva il "Centro di gestione account" in Facebook. Tale bug sarebbe emerso grazie alle ricerche effettuate da un esperto di sicurezza nepalese che per la sua scoperta avrebbe ricevuto un premio in denaro pari a 27.700 dollari.
Tali dettagli sono ora disponibili perché il problema sarebbe stato risolto dai tecnici della società californiana. L’Accounts Center mette infatti a disposizione un’interfaccia centralizzata per l’autenticazione su Facebook e Instagram ed eventuali violazioni potrebbero risolversi in perdite di dati importanti a danno degli utenti, arrivando fino alla compromissione della loro identità online.
L’autenticazione a due fattori prevede che la procedura di login debba avvenire sia tramite la classica accoppiata di credenziali composta da username e password che attraverso un secondo fattore di autenticazione, tipicamente un codice univoco di 6 cifre che viene inviato dal sistema al numero di telefono dell’iscritto tramite un messaggio SMS.
Il bug hunter premiato aveva però scoperto che un attaccante avrebbe potuto sottoporre al sistema un numero illimitato di codici. Utilizzando un sistema automatizzato per gli attacchi brute force si sarebbe così potuti arrivare a scoprire la sequenza che sarebbe stata accettata dal sistema, riuscendo anche a modificare il racapito telefonico indicato dal titolare dell’account.
Come sottolineato dai responsabili di Menlo Park, attualmente il "Centro di gestione account" è una feature ancora in fase di sperimentazione, ciò significa che è ancora possibile rilevare delle falle da sfruttare per exploit zero-day. Nel caso del bug citato il fixing sarebbe avvenuto nell’ottobre dello scorso anno e non sarebbe stati osservati episodi malevoli legati ad esso.