Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram✴, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook✴, принадлежащей той же компании, Meta✴ Platforms.
Пользователь может связать свои учётные записи Instagram✴ и Facebook✴, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook✴. После ввода номера мобильного телефона Facebook✴ генерирует одноразовый код для подтверждения личности пользователя.
Но ошибка с ограничением числа попыток доступа в Instagram✴ может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook✴, эффективно обходя двухфакторную защиту Facebook✴.
«Если номер телефона был полностью подтверждён и в Facebook✴ включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».
Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta✴ уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta✴ до последней версии, чтобы избежать уязвимости.