هکرها با باگ جدید فیسبوک می‌توانند به شماره موبایل کاربر دست یابند و قابلیت احراز هویت را غیرفعال کنند.

باگی در سیستم متمرکزی که فیسبوک برای مدیریت ورود کاربران به حساب‌های فیسبوک و اینستاگرام ابداع کرده بود، به هکر‌ها اجازه می‌داد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دو مرحله‌ای حساب را خاموش کنند.

یک محقق نپالی به نام Gtm Manoz متوجه شد متا در سیستم جدید Meta Account Center تعداد تلاش‌ها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک می‌کند تمام حساب‌های کاربری خود در شرکت متا (مانند فیسبوک و اینستاگرام) را به یکدیگر متصل کنند.

هکر‌ها با استفاده از شماره موبایل کاربر می‌توانند وارد حساب‌های تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله‌ای را غیرفعال می‌کند. این امر بسیار مهم است، زیرا هیچ محدودیتی برای تعداد تلاش‌های یک کاربر برای ورود به سیستم تعیین نشده است.

هنگامی که هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیس بوک وی متصل می‌شود. چنین حمله‌ای سبب می‌شود متا پیامی به قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آن‌ها غیرفعال شده و همزمان موبایل آن‌ها به حساب کاربری فرد دیگری متصل شده است.

در این وضعیت هکر می‌تواند با استفاده از روش فیشینگ پسورد حساب کاربری فیس بوک را کنترل کند.

Manoz سال گذشته میلادی این باگ را در مرکز حساب‌های کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.

این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد.