？Белый？ хакер из Непала Джитм Маноз обнаружил серьёзную уязвимость в системе двухфакторной авторизации в одном из сервисов Meta*, владеющей соцсетью Facebook*.

       Фото: Ferra.ru Ferra.ru

       Речь идёт о сервисе Meta Accounts Center, позволяющем объединять аккаунты в Facebook, Instagram* и на других площадках компании. В сервисе можно настроить не только общие параметры входа, но и другие функции вроде кросс-сервисной публикации контента.

       Как раз в системе двухфакторной авторизации этого сервиса Маноз и нашёл опасную уязвимость. Оказалось, что между попытками ввода шестизначного кода подтверждения авторизации из SMS-сообщения или электронной почты отсутствует таймаут.

       Поэтому, если злоумышленник знает логин, пароль и номер телефона жертвы, то может перейти на страницу Meta Accounts Center, ввести нужные ему данные и заняться брутфорсом — подбором нужной комбинации методом перебора проверочного кода с помощью специального бота. Подобрав нужный код, мошенник может получить доступ ко всем сервисам жертвы в экосистеме Meta.

       Непальский хакер сообщил об этой находке Meta летом 2022 года. Но уязвимость была исправлена недавно, в январе 2023 года.

       * организация признана экстремистской, её деятельность запрещена на территории России.

       Ferra.ru: главные новости

       Шесть советов по питанию, если у вас ограниченный бюджет

       Новая прошивка начала выводить из строя смартфоны OnePlus 9 и 9 Pro

       Правда ли, что жевание помогает при стрессе, боли и снижает аппетит