реклама
Теги → брутфорс-атака

Уязвимость в Instagram✴ позволяла обходить двухфакторную аутентификацию Facebook✴

Охотник за программными ошибками (Bug-Bounty Hunter, по аналогии с Bounty Hunter — охотник за головами) с псевдонимом Gtm Mänôz обнаружил проблему в API соцсети Instagram, которая может позволить злоумышленнику запускать брутфорс-атаки и обходить двухфакторную аутентификацию (2FA) в соцсети Facebook, принадлежащей той же компании, Meta Platforms.

 Источник изображения: themerkle.com

Источник изображения: themerkle.com

Пользователь может связать свои учётные записи Instagram и Facebook, добавив в первую уже подтверждённый номер мобильного телефона, связанный с учётной записью Facebook. После ввода номера мобильного телефона Facebook генерирует одноразовый код для подтверждения личности пользователя.

Но ошибка с ограничением числа попыток доступа в Instagram может позволить злоумышленнику управлять неограниченным бот-трафиком, чтобы запустить брутфорс-атаку для подтверждения одноразового PIN-код Facebook, эффективно обходя двухфакторную защиту Facebook.

«Если номер телефона был полностью подтверждён и в Facebook включена двухфакторная аутентификация, то она будет отключена или деактивирована в учётной записи жертвы, — обнаружил Gtm Mänôz. — И, если номер телефона был частично подтверждён (то есть использовался только для 2FA), 2FA будет отменена, а номер телефона будет удалён из атакованной учётной записи».

Охота Gtm Mänôz за ошибками была успешной — на данный момент Meta уже исправила проблему и выплатила ему 27 000 долларов в рамках программы вознаграждения за обнаружение уязвимостей. Всем пользователям рекомендуется незамедлительно обновить приложения Meta до последней версии, чтобы избежать уязвимости.

window-new
Soft
Hard
Тренды 🔥
Разработчики Path of Exile 2 раскрыли, чего ждать от раннего доступа — геймплей, подробности и предзаказ в российском Steam 30 мин.
Приключение Hela про храброго мышонка в открытом мире получит кооператив на четверых — геймплейный трейлер новой игры от экс-разработчиков Unravel 3 ч.
OpenAI случайно удалила потенциальные улики по иску об авторских правах 3 ч.
Скрытые возможности Microsoft Bing Wallpaper напугали пользователей 4 ч.
В WhatsApp появилась расшифровка голосовых сообщений — она бесплатна и поддерживает русский язык 5 ч.
Новая игра создателей The Invincible отправит в сердце ада выживать и спасать жизни — первый трейлер и подробности Dante’s Ring 6 ч.
Центр ФСБ по компьютерным инцидентам разорвал договор с Positive Technologies 7 ч.
Android упростит смену смартфона — авторизовываться в приложениях вручную больше не придётся 7 ч.
OpenAI обдумывает создание собственного интернет-браузера и поисковых систем для противостояния Google 8 ч.
Apple готовит более разговорчивую Siri — она выйдет с iOS 19 9 ч.
Magssory Fold 3 в 1 — компактная и функциональная беспроводная зарядная станция для Apple, Samsung и не только 38 мин.
Nokia подписала пятилетнее соглашение о поддержке ЦОД Microsoft Azure с миграцией с 100GbE на 400GbE 38 мин.
Давно упавший на Землю кусочек Марса пролил свет на историю воды на Красной планете 59 мин.
TeamGroup представила SSD T-Force GA Pro на чипе InnoGrit — PCIe 5.0, до 2 Тбайт и до 10 000 Мбайт/с 2 ч.
Провалился крупнейший проект по производству электромобильных батарей в Европе — Northvolt объявила о банкротстве 2 ч.
«Уэбб» открыл в ранней Вселенной три огромные галактики — учёные не понимают, почему они так быстро сформировались 2 ч.
В Зеленограде начнут выпускать чипы для SIM-карт и паспортов — на этом планируется заработать триллионы рублей 2 ч.
Смартфоны Poco X6 Pro 5G, M6 Pro и C75 предлагают современный дизайн и продвинутые характеристики 3 ч.
В России стартовали продажи полностью беспроводных наушников Tecno True 1 Air, Buds 4 и Buds 4 Air 3 ч.
Одна из структур Минпромторга закупит ИИ-серверы на 665 млн рублей 4 ч.