Mắc sai lầm sơ đẳng, Facebook khiến khả năng bảo mật 2 lớp vô dụng trước hacker

Nắm trong tay các mạng xã hội lớn nhất thế giới, nhưng hệ thống quản lý đăng nhập mới của Meta đối với Facebook và Instagram đang chứa một lỗ hổng sơ đẳng có thể cho phép các hacker vô hiệu hóa bảo mật 2 lớp của tài khoản dù chỉ biết số điện thoại của nạn nhân.

Theo nhà nghiên cứu bảo mật Gtm Mänôz tại Nepal, cho dù trang bị cho người dùng tính năng bảo mật 2 lớp, nhưng Meta lại không đặt giới hạn cho số lần đăng nhập sai của người dùng khi truy cập vào hệ thống quản lý đăng nhập Meta Accounts Center mới - hệ thống quản lý đăng nhập này sẽ cho phép người dùng liên kết mọi tài khoản trong mạng xã hội của Meta vào làm một, bao gồm cả Facebook và Instagram.

Với lỗ hổng của Meta, hacker chỉ cần biết số điện thoại của người dùng, sau đó liên kết số điện thoại của nạn nhân với tài khoản Facebook của kẻ tấn công. Lúc này hệ thống sẽ gửi tin nhắn SMS chứa mã xác thực đến số điện thoại của nạn nhân. Dù không nhận được tin nhắn này, hacker có thể tìm ra mã xác thực khi tấn công theo kiểu "brute force" - vét cạn - để đoán được mã xác thực. Đây là bước rất quan trọng vì kẻ tấn công không bị giới hạn số lần thử sai cho đến khi đoán được đúng mã xác thực.

Khi đoán được mã xác thực, số điện thoại của nạn nhân sẽ được liên kết với tài khoản Facebook của kẻ tấn công. Một cuộc tấn công thành công sẽ dẫn đến việc Meta gửi tin nhắn cho nạn nhân thông báo việc bảo mật 2 lớp đối với tài khoản của họ đã bị vô hiệu hóa khi số điện thoại của họ được liên kết với tài khoản của người khác.

Trả lời TechCrunch, Mänôz cho biết: "Về cơ bản, tác động lớn nhất của cuộc tấn công là thu hồi khả năng bảo mật 2 lớp thông qua SMS chỉ bằng cách biết số điện thoại của người khác".

Về lý thuyết, mối nguy của cuộc tấn công có thể còn lớn hơn nhiều nếu xét đến khả năng hacker đã lừa lấy được mật khẩu tài khoản Facebook của nạn nhân từ trước đó. Vì vậy khi bị mất khả năng bảo mật 2 lớp, kẻ tấn công có thể chiếm đoạt tài khoản mạng xã hội.

May mắn là Mänôz đã tìm được lỗ hổng này trong hệ thống Meta Accounts Center và thông báo cho công ty từ giữa tháng 9 năm 2022. Chỉ vài ngày sau đó, lỗ hổng này đã được Meta vá lại và thưởng cho Mänôz 27.200 USD vì báo cáo lỗ hổng này.

Phát ngôn viên của Meta, Gabby Curtis cho biết, vào thời điểm xuất hiện lỗ hổng, hệ thống này vẫn đang trong giai đoạn thử nghiệm với một lượng nhỏ người dùng. Sau khi phát hiện lỗ hổng này, Meta đã tiến hành điều tra và nhận thấy không có bằng chứng nào về việc lỗ hổng đã bị khai thác cho các cuộc tấn công và rằng Meta cũng không nhận thấy tần suất sử dụng tính năng này gia tăng đột biến trong thời gian thử nghiệm - một dấu hiệu cho thấy không có ai lạm dụng nó trong thời gian đó.

Tham khảo TechCrunch, The Verge