Meta, la empresa matriz de Facebook, está trabajando actualmente para centralizar la administración de cuentas para sus diversos productos. Es un pequeño cambio para los usuarios, pero mucho trabajo para los desarrolladores, y aumenta el riesgo de dejar un agujero de seguridad. Es precisamente en la nueva “Área de Cuentas” de Instagram donde un investigador de ciberseguridad de Nepal, Gtm Mänôz, descubrió una gran falla. Esto hace posible desactivar la autenticación de dos factores (2FA) de cualquier cuenta conociendo solo el número de móvil asociado.
Esta opción de seguridad mejora la protección de una cuenta al enviar, por ejemplo, un código de un solo uso por SMS para ingresar además de la contraseña para conectarse. La falla en cuestión es al momento de agregar un nuevo número de móvil a tu cuenta para implementar esta protección. Después de ingresar su número de teléfono, el sitio envía un código de seis dígitos por SMS que debe ingresarse para confirmar la propiedad del número.
La falla permite desactivar la seguridad 2FA de la víctima
Normalmente, la cantidad de intentos para ingresar este código está limitada para evitar que los piratas informáticos usen un ataque de fuerza bruta enviando todos los dígitos posibles. Esto es precisamente lo que Meta olvidó implementar.
Por lo tanto, un pirata informático podría agregar a su propia cuenta el número de teléfono móvil utilizado por otra cuenta de Instagram o Facebook para la autenticación de dos factores. Cuando el sitio envió el código, todo lo que tenían que hacer era ingresar manualmente cualquier serie de seis dígitos la primera vez y registrar la respuesta enviada al sitio. Luego podría usar el software para devolver la misma respuesta un millón de veces cambiando el código enviado cada vez. Esta es una de las técnicas de piratería más rudimentarias. El objetivo de esta técnica es lo que sucede a continuación. Luego, el número se eliminó de la cuenta de la víctima y se desactivó su seguridad 2FA.
—
Una falla inexplotable sin la contraseña
Por supuesto, esto no le dio acceso directo a la cuenta. Todavía tenía que obtener la contraseña por otro método. Además, la víctima recibió por SMS el código de confirmación para agregar su número, luego un correo electrónico informándole que su número había sido eliminado de su cuenta. Sin embargo, si el intruso ya había obtenido la contraseña de la víctima, podría deshabilitar rápidamente la autenticación de dos factores con este método, luego iniciar sesión en la cuenta de la víctima y cambiar su contraseña, impidiéndole acceder a su cuenta.
Gtm Mänôz informó la falla el 14 de septiembre y Meta la reparó el 17 de octubre. La firma indica que se pudo acceder a la falla durante una prueba beta pública a pequeña escala y no parece haber sido explotada. Meta le pagó una recompensa de $ 27,200 como parte de su programa de recompensas por errores (recompensa por errores), la segunda recompensa más grande para 2022, de más de 750 premios otorgados por un monto total superior a los $2 millones.