Centro de Contas da Meta possuía bug no sistema de autenticação em duas etapas

By | 01/02/2023

A meta tem vindo a criar novas ferramentas para garantir uma segurança adicional das contas dos utilizadores, e o Centro de Contas foi pensado exatamente nisso. A ideia seria conjugar as diversas contas das plataformas da Meta num único local, facilitando a tarefa dos utilizadores em gerir as mesmas.

No entanto parece que esta plataforma também tinha uma falha de segurança, que poderia permitir aos atacantes contornar a autenticação em duas etapas na plataforma. De acordo com o comunicado da Meta, a falha foi corrigida em Dezembro de 2022, depois de ter sido reportada pelo investigador de segurança Gtm Mänôz.

Centro de Contas da Meta possuía bug no sistema de autenticação em duas etapas

A falha, se explorada, poderia permitir que fosse possível contornar a autenticação em duas etapas para as contas de utilizadores na plataforma. Tudo o que o atacante teria de saber era o número de telefone da vítima, o que abria as portas para ser possível contornar o sistema. Com isto, os atacantes poderiam colocar os seus próprios números de telefone para autenticação das contas, garantindo assim acesso à mesma.

Para isto, os atacantes teriam de explorar a possibilidade de configurar um segundo número de telefone na conta do utilizador, onde normalmente é enviado um código para validação. O problema encontrava-se no facto do sistema da Meta não aplicar nenhum limite nas tentativas de códigos que poderiam ser usadas. Com um simples script era possível testar vários códigos, até eventualmente se acertar – tendo em conta que era um código de apenas 4 dígitos, este seria relativamente simples de descobrir.

No pior dos cenários, esta falha poderia ser explorada para desativar completamente a autenticação em duas etapas das vítimas, abrindo a conta para potenciais ataques mais alargados. A Meta terá sido igualmente rápida a resolver a falha, depois de a mesma ter sido reportada.

Por sua vez, Gtm Mänôz recebeu 27.200 dólares como prémio por ter reportado a falha, que caso não fosse feito, poderia causar sérias dores de cabeça para a Meta e eventuais ataques a contas na plataforma

(TT)