Hacker encuentra un error que permitía eludir la verificación de dos pasos de Facebook

Un hacker encontró un error en la app de Facebook que permitía a los usuarios saltarse la verificación de dos pasos al iniciar sesión.

Gtm Mänôz, investigador de Nepal, se dio cuenta de que solo conociendo el número de teléfono de la cuenta a la que se intente iniciar sesión, piratas informáticos podrían obtener acceso a sus perfiles.

Vulnerabilidades en Facebook

De acuerdo con el hacker de sombrero blanco, con el número de teléfono de la víctima, los delincuentes podrían ir al centro de cuentas de Meta, que ayuda a los usuarios a vincular sus cuentas de la empresa como Facebook, Instagram y Messenger, a vincular ese número a su propia cuenta de y luego forzar el código SMS de dos factores. En ese momento, no habrá límite superior para la cantidad de intentos.

Con ello, el atacante vincula su cuenta de Facebook con el número de teléfono de la víctima. Un ataque exitoso aún daría como resultado que Meta envíe un mensaje a la víctima, diciendo que su factor doble se deshabilitó porque su número de teléfono se vinculó a la cuenta de otra persona.

En este punto, en teoría, un atacante podría intentar apoderarse de la cuenta de Facebook de la víctima simplemente mediante el phishing para obtener la contraseña, dado que el objetivo ya no tenía habilitado el doble factor.

Facebook responde

El investigador encontró el error en el 2022 y lo informó a la empresa en septiembre. Meta arregló el error y le pagó 27 mil dólares en recompensa.

Gabby Curtis, portavoz de Meta, señaló a TechCrunch que, en el momento del error, el sistema de inicio de sesión estaba en fase de prueba. La compañía informó que no fue una vulnerabilidad usada para robar cuentas.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico.