باحث أمني: ثغرة تسمح لأي شخص بتجاوز المصادقة الثنائية في “فيسبوك”

المجد – 

كشف باحث أمني أن ثغرة في نظام مركزي جديد أنشأته شركة ميتا لتمكين المستخدمين من إدارة عمليات تسجيل الدخول الخاصة بهم إلى خدمتي فيسبوك وإنستجرام، تسمح بإيقاف المصادقة الثنائية لحساب الضحية إن عُرف عنوان البريد الإلكتروني أو رقم الهاتف الخاص به.

وأدرك الباحث الأمني (Gtm Mänôz) من نيبال أن ميتا لم تضع حدًّا لمحاولات إدخال رمز المصادقة الثنائية المُستخدَم لتسجيل الدخول إلى الحسابات في مركز الحسابات الجديد (Meta Accounts Center)، الذي يُستخدم لمساعدة المستخدمين على ربط حسابات ميتا الخاصة بهم معًا، مثل: فيسبوك، وإنستجرام.

وبمعرفة رقم الهاتف أو عنوان البريد الإلكتروني للضحية، يمكن للمهاجم التوجه إلى مركز الحسابات، ثم إدخال رقم الهاتف الخاص بالضحية لربطه بحسابه على فيسبوك، وبعدئذ يطلب رمز المصادقة الثنائية الذي يُرسل عادةً عن طريق الرسائل النصية القصيرة (SMS).

ولعدم وجود حد أقصى لمحاولات إدخال الرمز، فإن تمكّن المهاجم من تخمين الرمز الذي أُرسل إلى الضحية، فسيكون هاتف الضحية قد ارتبط بحساب المهاجم على فيسبوك، وبذلك تتعطل المصادقة الثنائية في حساب الضحية على موقع التواصل الاجتماعي.

وحتى لو نجح الهجوم في ربط هاتف الضحية بحساب المهاجم، فإن ميتا سترسل رسالة إلى الضحية، تُفيد بأن المصادقة الثنائية قد عُطِّلت لأن رقم هاتفه ارتبط بحساب شخص آخر.