Uwierzytelnianie dwuskładnikowe jest polecanym i jednym z podstawowych mechanizmów, który pozwala znacząco podnieść poziom bezpieczeństwa. Dotyczy to wielu różnych usług i serwisów, w tym również Facebooka. Okazuje się jednak, że odkryto błąd, który pozwalał ominąć to zabezpieczenie.
Poważna luka w uwierzytelnianiu dwuskładnikowym
Facebook ostatnio nie ma dobrej passy. W sumie, nie ma jej od co najmniej kilku lat. Dopiero co mogliśmy się dowiedzieć o oskarżeniach byłego pracownika, który opowiedział o stosowaniu tzw. testowania negatywnego, a teraz poznaliśmy kolejne niekorzystne informacje. Wspomniana przed chwilą sprawa testów nie została jeszcze całkowicie wyjaśniona i trudno stwierdzić jaki będzie jej finał, ale w przypadku odkrytej luki możemy prawdopodobnie mówić o szczęśliwym zakończeniu.
Jak wynika z najnowszych doniesień, Gtm Mänôz, badacz bezpieczeństwa z Nepalu, odkrył poważny błąd w zabezpieczeniach stosowanych przez amerykański konglomerat Meta. Okazało się, że w nowy scentralizowany system, który powstał, aby użytkownicy Facebooka i Instagrama mogli wygodnie zarządzać loginami i hasłami, można wykorzystać do przeprowadzenia ataku.
Przeraża fakt, że atakujący musiał znać tylko adres e-mail lub numer telefonu ofiary. To wystarczyło, aby przejść do scentralizowanego centrum kont i wprowadzić numer telefonu lub adres e-mail ofiary, na który wysyłany jest kod uwierzytelniający. Następnie haker musiał siłowo wprowadzić dwuetapowy kod uwierzytelniający i połączyć numer telefonu z własnym kontem na Facebooku.
Owszem, musiał to być kod wygenerowany przez Facebooka, ale na początkowym etapie atakujący mógł go nie znać. Otóż mechanizm miał lukę, która umożliwiała podjąć dowolną liczbę prób wprowadzenia kodu. Przy zastosowaniu siłowego ataku i generowaniu kolejnych kodów, możliwe było trafienie na ten prawidłowy.
Jeśli prawidłowy kod został wprowadzony, to numer telefonu ofiary był przypisywany do konta atakującego. Ponadto wyłączało to uwierzytelnianie dwuskładnikowe w przypadku konta ofiary. Tutaj jednak pojawiała się pewne przeszkoda – otóż cel ataku otrzymywał wiadomość, że na jego koncie właśnie została wyłączona dwuetapowa weryfikacja.
W momencie wyłączenia dodatkowego uwierzytelniania, napastnik zyskiwał znacznie większe szanse na przejęcie konta ofiary. W końcu nie było ono już aż tak mocno chronione. Oczywiście do faktycznego przejęcia konta trzeba było wykonać jeszcze trochę pracy, ale jak wspomniałem, najbardziej chronione drzwi właśnie zostały otwarte.
Facebook naprawił błąd
Jak donosi serwis TechCrunch, powołując się na informacje od badacza bezpieczeństwa, opisywana luka została odkryta w zeszłym roku, a następnie zgłoszona firmie Meta we wrześniu. Po miesiącu udało się załatać zabezpieczenia, a Gtm Mänôz otrzymał nagrodę w wysokości 27200 dolarów.
Błąd jak najbardziej może niepokoić użytkowników Facebooka, którzy korzystają z uwierzytelnienia dwuskładnikowego. Pokazał on bowiem, że jest szansa na wyłączenie tego mechanizmu przez atakującego.
Mimo tego, zdecydowanie nie należy rezygnować z dodatkowego zabezpieczenia. Po pierwsze, problem został już wyeliminowany. Po drugie, jak najbardziej ten mechanizm znacząco podnosi poziom zabezpieczeń. Miejmy tylko nadzieję, że luka nie została wcześniej nigdy wykorzystana do przeprowadzenia prawdziwego ataku i jej „kariera” zakończyła się wyłącznie na odkryciu przez badacza Gtm Mänôza.
