Meta はアカウント センター機能にますます重点を置いているようで、そこから設定やセキュリティ情報を管理したり、他のアカウントに切り替えるために使用したりできるため、これは重要な発見でした。 Mänôz 氏によると、攻撃は比較的単純でした。 相手が 2 要素認証に使用した電話番号を知っていれば、それを自分のアカウントにリンクして、被害者の電話番号を削除することができます。
これを防ぐと思われるのは、あなたがアクセスできない他の人のアカウントまたは電話番号に送信される 6 桁の認証コードです。 しかし、Mänôz が発見したバグは、攻撃者が何度でもそのコードを推測できるようにするものでした。そのタスクを実行するようにプログラムまたはスクリプトを設定すると、最終的には正しく推測することになります。
最悪のシナリオ (その人が連絡先情報を完全に確認したか部分的に確認したかによって、この方法の影響は異なります) では、被害者のアカウントで 2FA が完全にオフになります。 それが Account Center を介して実行されていたという事実は、他のいくつかのセキュリティ対策も無効にしました。 Mänôz の投稿によると、Facebook では通常、登録済みのメール アドレスをアカウントに追加することはできませんが、この方法ではそれが回避されました。
メタは問題を比較的迅速に修正したようです。 Mänôz は 2022 年 9 月 14 日に報告し、同社のセキュリティ チームが実際にテストする方法を見つけた後、10 月中旬までに対処しました。 (Mänôz によると、アカウント センターはチームのアカウント用に展開されておらず、Mänôz がアカウントをテストできるように資格情報を与えた後、Mänôz のアカウントから姿を消しました。) Meta は最終的に、Mänôz にバグの報告に対して $27,200 のバグ報奨金を支払いました。問題。 メタは、バグの影響についてオフレコの声明を提供しませんでしたが、スポークスパーソンのギャビー・カーティスは 言った TechCrunch 小規模な公開テスト中に発見されたものであり、修正される前に悪用されたという証拠はないようです。
訂正 1 月 30 日午後 3 時 50 分 (ET): この記事の以前のバージョンでは、このバグは電子メール ベースの 2 要素認証に影響すると述べていましたが、Meta の広報担当者 Gabby Curtis は、SMS ベースの 2FA にのみ影響を与えたと述べています。 申し訳ございません。
1 月 30 日午後 3 時 50 分 (ET) の更新: バグが悪用されたようには見えないことを指摘するために更新されました。