Centro de Contas da Meta possuía bug no sistema de autenticação em duas etapas
A meta tem vindo a criar novas ferramentas para garantir uma segurança adicional das contas dos utilizadores, e o Centro de Contas foi pensado exatamente nisso. A ideia seria conjugar as diversas contas das plataformas da Meta num único local, facilitando a tarefa dos utilizadores em gerir as mesmas.
No entanto parece que esta plataforma também tinha uma falha de segurança, que poderia permitir aos atacantes contornar a autenticação em duas etapas na plataforma. De acordo com o comunicado da Meta, a falha foi corrigida em Dezembro de 2022, depois de ter sido reportada pelo investigador de segurança Gtm Mänôz.
A falha, se explorada, poderia permitir que fosse possível contornar a autenticação em duas etapas para as contas de utilizadores na plataforma. Tudo o que o atacante teria de saber era o número de telefone da vítima, o que abria as portas para ser possível contornar o sistema. Com isto, os atacantes poderiam colocar os seus próprios números de telefone para autenticação das contas, garantindo assim acesso à mesma.
Para isto, os atacantes teriam de explorar a possibilidade de configurar um segundo número de telefone na conta do utilizador, onde normalmente é enviado um código para validação. O problema encontrava-se no facto do sistema da Meta não aplicar nenhum limite nas tentativas de códigos que poderiam ser usadas. Com um simples script era possível testar vários códigos, até eventualmente se acertar – tendo em conta que era um código de apenas 4 dígitos, este seria relativamente simples de descobrir.
No pior dos cenários, esta falha poderia ser explorada para desativar completamente a autenticação em duas etapas das vítimas, abrindo a conta para potenciais ataques mais alargados. A Meta terá sido igualmente rápida a resolver a falha, depois de a mesma ter sido reportada.
Por sua vez, Gtm Mänôz recebeu 27.200 dólares como prémio por ter reportado a falha, que caso não fosse feito, poderia causar sérias dores de cabeça para a Meta e eventuais ataques a contas na plataforma.