सुरक्षा शोधकर्ता ने बग ढूंढा है जिसने हैकर्स को फेसबुक के 2FA को बायपास करने की अनुमति दी हो सकती है

मेटा उपयोगकर्ताओं को जुड़े हुए अनुभवों को प्रबंधित करने की अनुमति देने के लिए एक केंद्रीकृत प्रणाली बनाई गई जैसे खातों में लॉग इन करना फेसबुक और इंस्टाग्राम. एक सिक्योरिटी रिसर्चर ने इस सिस्टम में एक बग बताया है, जिसे मेटा अकाउंट्स सेंटरहो सकता है कि हैकर्स को अक्षम करने की अनुमति दी हो दो तरीकों से प्रमाणीकरण (2FA) – एक तरीका जो उपयोगकर्ताओं को अपने सोशल मीडिया खातों को अनधिकृत पहुंच से सुरक्षित रखने में मदद करता है।
नेपाल के एक सुरक्षा शोधकर्ता Gtm Manôz ने कहा कि उन्होंने पिछले साल सितंबर में मेटा अकाउंट्स सेंटर में एक बग की सूचना दी थी।
मेटा अकाउंट्स सेंटर में बग
मनोज ने कहा कि उन्होंने पाया कि दो-कारक प्रमाणीकरण प्रक्रिया के एक भाग के रूप में मेटा ने एसएमएस के माध्यम से भेजे जाने वाले लॉगिन कोड को दर्ज करने की कोई सीमा निर्धारित नहीं की है। शोधकर्ता के अनुसार, इस बग ने एक हैकर को क्रूर बल के हमलों का उपयोग करके प्रमाणीकरण सुरक्षा को बायपास करने की अनुमति दी होगी।

यह ध्यान दिया जाना चाहिए कि जब उपयोगकर्ता दो-कारक प्रमाणीकरण सेट करते हैं, तो उनसे खाते में प्रवेश करने के लिए एक विशेष कोड मांगा जाता है। यह कोड हर बार भेजा जाता है जब उपयोगकर्ता अपने खातों में लॉग इन करते हैं। जब कोई किसी ब्राउजर या मोबाइल डिवाइस से लॉग इन करने की कोशिश करता है जिसे मेटा नहीं पहचानता है तो यूजर्स को अलर्ट भी मिलता है।
इससे उपयोगकर्ताओं को अपने खातों को सुरक्षित रखने में मदद मिलती है भले ही हैकर्स को उपयोगकर्ता का फ़ोन नंबर मिल जाए क्योंकि उनके पास अपने खातों में साइन-इन करने के लिए आवश्यक विशेष कोड नहीं होगा। चूंकि लॉगिन कोड के माध्यम से प्रमाणीकरण का प्रयास करने की कोई सीमा नहीं थी, हैकर्स उस कोड को कई बार पंच करके अनुमान लगा सकते थे जब तक कि वे इसे सही नहीं कर लेते।
अगर हैकर को सही कोड मिल गया तो पीड़ित का फोन नंबर हमलावर के फेसबुक अकाउंट से जुड़ गया। मेटा अभी भी पीड़ितों को यह सूचित करने वाला संदेश भेजेगा कि उनका 2FA अक्षम कर दिया गया है और उनका फ़ोन नंबर किसी और के खाते से लिंक हो गया है।

इस स्तर पर, चूंकि 2FA अब उस विशेष खाते के लिए मौजूद नहीं है, इसलिए हैकर्स पीड़ित के खाते को अपने कब्जे में ले सकते थे।
मेटा ने बग को ठीक किया
मनोज ने कहा कि बग को खोजने और रिपोर्ट करने के तुरंत बाद, मेटा ने इस भेद्यता को ठीक कर दिया। “हमने नेपाल के Gtm Manôz द्वारा रिपोर्ट की गई एक बग को भी ठीक किया है, जो किसी हमलावर को किसी के फ़ोन नंबर की पुष्टि करने के लिए आवश्यक सत्यापन पिन को बल देने के लिए दर-सीमित मुद्दे का शोषण करके एसएमएस-आधारित 2FA को बायपास करने की अनुमति दे सकता था। हमने इस रिपोर्ट के लिए $27,200 का इनाम दिया है,” मेटा ने दिसंबर में एक रिपोर्ट में कहा।