Greška za ograničavanje brzine na Instagramu mogla bi se iskoristiti da zaobiđe Facebook dvofaktorsku autentifikaciju u ranjivim aplikacijama, izvještavaju istraživači.
Lovac na bug-ove pronašao je problem u Meta Instagram API krajnjim tačkama koji bi mogao omogućiti hakeru da pokrene brute-force napade i zaobiđe dvofaktorsku autentifikaciju (2FA) na Facebook-u.
Istraživač, Gtm Mänôz, prvi je otkrio da korisnik može povezati svoje Instagram i Facebook naloge dodavanjem već potvrđenog broja mobilnog telefona povezanog sa Facebook nalogom. Kada se unese broj mobilnog telefona, Facebook generiše jednokratni kod za provjeru identiteta korisnika.
Ali problem ograničavanja brzine na krajnjoj tački Instagram-a mogao bi omogućiti hakeru da pokrene neograničen promet bot-ova kako bi pokrenuo brute-force napad i kako bi potvrdio jednokratni Facebook PIN za povezivanje naloga, efektivno zaobilazeći Facebookovu 2FA zaštitu.
“Ako je telefonski broj u potpunosti potvrđen i 2FA omogućen na Facebook-u, tada će 2FA biti isključen ili onemogućen sa naloga žrtve”, napisao je Mänôz. “I, ako je telefonski broj djelimično potvrđen (to znači da se koristi samo za 2FA), to će opozvati 2FA, a broj telefona će biti uklonjen sa žrtvinog naloga.”
Meta je od tad riješila problem i dodijelila Mänôz-u 27.000 dolara za pronalazak kroz svoj program za nagrađivanje grešaka. Korisnici bi trebali ažurirati svoje aplikacije na najnoviju verziju kako ne bi bili ranjivi.
Izvor: Dark Reading