แฮกเกอร์พบบั๊กในระบบกลางของ Meta ที่ใช้สร้างระบบจัดการล็อกอินของ Facebook และ Instagram เปิดทางให้ข้ามระบบป้องกัน 2FA ที่ส่งรหัสยืนยันอีกชั้นไปทางเบอร์มือถือ

Gtm Mänôz นักวิจัยด้านความปลอดภัยจากเนปาล ได้ค้นพบว่าทาง Meta ไม่ได้ตั้งค่าจำกัดจำนวนครั้งในการพยายามล็อกอินด้วย 2FA ผ่าน Meta Accounts Center ที่เชื่อมโยงกับบัญชี Facebook และ Instagramนั่นหมายความว่า แฮกเกอร์สามารถลองใส่รหัส 2FA กี่ครั้งก็ได้โดยบัญชีจะไม่ถูกล็อก

เมื่อแฮกเกอร์รู้เบอร์โทรของเป้าหมาย ก็จะเข้าไปที่ Meta Accounts Center กรอกเบอร์โทร แล้วทำการใช้บอทเดารหัส 2FA จนกว่าจะเจอรหัสที่ถูก จากนั้นแฮกเกอร์จะเข้าไปเปลี่ยนให้เบอร์โทรของเหยื่อผูกกับบัญชีของแฮกเกอร์แทน เมื่อทำสำเร็จระบบจะส่งข้อความไปหาเหยื่อแจ้งว่า 2FA ปิดการทำงานแล้วและเบอร์โทรนั้นได้เปลี่ยนไปผูกกับบัญชีอื่นแทน ตามทฤษฎีแล้ว วิธีนี้แฮกเกอร์จะเข้ายึดบัญชีเหยื่อได้ง่ายๆ

ผู้ที่ค้นพบช่องโหว่นี้ได้รับเงินรางวัลไปถึง 27,200 ดอลลาร์หรือประมาณ 890,000 บาทหลังจากแจ้งไปให้ Meta รู้ ทางตัวแทนของ Meta บอกว่าบั๊กที่พบนี้ ยังอยู่ในช่วงทดสอบระบบในคนกลุ่มเล็กๆก่อน ยังไม่พบผลกระทบในวงกว้าง รวมถึงได้มีการแก้ไขช่องโหว่เรียบร้อยแล้ว

ที่มา https://techcrunch.com/2023/01/30/facebook-two-factor-bypass-bug/?guccounter=1&guce_referrer=aHR0cHM6Ly9uZXdzLmdvb2dsZS5jb20v&guce_referrer_sig=AQAAAHYn-B5MdrkVVazY9GCxHgrmYNAPWdGbCk87E4V8hSw2d1jmqcTubCGIHnNE869UZ-rcQt-AJ4c_0knlzYER6AGBgbEUEmvECZTnk0tmpa5yubHPPjHFR7wvQXqmThu31dM6-Dr6d1xTmZyEY4-QgB6_cxh8uXxICKwpHJYfE1ZQ