كشف باحث أمني أن ثغرة في نظام مركزي جديد أنشأته شركة ميتا لتمكين المستخدمين
من إدارة عمليات تسجيل الدخول الخاصة بهم إلى خدمتي فيسبوك وإنستاجرام،
تسمح بإيقاف المصادقة الثنائية لحساب الضحية إن عُرف عنوان البريد الإلكتروني أو رقم الهاتف الخاص به.
وأدرك الباحث الأمني (Gtm Mänôz) من نيبال أن ميتا لم تضع حدًّا لمحاولات
إدخال رمز المصادقة الثنائية المُستخدَم لتسجيل الدخول إلى الحسابات في مركز الحسابات الجديد (Meta Accounts Center)،
الذي يُستخدم لمساعدة المستخدمين على ربط حسابات ميتا الخاصة بهم معًا، مثل: فيسبوك، وإنستاجرام.
وبمعرفة رقم الهاتف أو عنوان البريد الإلكتروني للضحية، يمكن للمهاجم التوجه إلى مركز الحسابات،
ثم إدخال رقم الهاتف الخاص بالضحية لربطه بحسابه على فيسبوك. وبعدئذ يطلب
رمز المصادقة الثنائية الذي يُرسل عادةً عن طريق الرسائل النصية القصيرة (SMS).
ولعدم وجود حد أقصى لمحاولات إدخال الرمز، فإن تمكّن المهاجم من تخمين الرمز الذي أُرسل إلى الضحية،
فسيكون هاتف الضحية قد ارتبط بحساب المهاجم على فيسبوك،
وبذلك تتعطل المصادقة الثنائية في حساب الضحية على موقع التواصل الاجتماعي.
وحتى لو نجح الهجوم في ربط هاتف الضحية بحساب المهاجم، فإن ميتا سترسل رسالة إلى الضحية،
تُفيد بأن المصادقة الثنائية قد عُطِّلت لأن رقم هاتفه ارتبط بحساب شخص آخر.
وإن لم يُبادر الضحية إلى إصلاح الأمر، فيُمكن للمهاجم، في هذه المرحلة،
أن يحاول الاستيلاء على حساب الضحية على فيسبوك عن طريق التصيد الاحتيالي لكلمة المرور،
وذلك بالنظر إلى أن حسابه لم يعد محميًا بالمصادقة الثنائية.
واكتشف (Mänôz) الثغرة في مركز الحسابات الخاص بميتا العام الماضي،
وأبلغ الشركة بها في منتصف شهر أيلول/ سبتمبر 2022. وبعد شهر من ذلك أصلحت ميتا الثغرة،
ودفعت للباحث 27,200 دولار أمريكي للإبلاغ عنها.
هذا، وليس من الواضح هل تمكن القراصنة من اكتشاف الثغرة أيضًا واستغلالها قبل أن تصلحها ميتا.
المصدر / البوابة العربية للأخبار التقنية
