Un bug en los sistemas de Facebook permitía a cualquier usuario saltarse la autenticación 2FA

Un error en un nuevo sistema centralizado que Meta creó para que los usuarios administraran sus inicios de sesión en Facebook e Instagram podría haber permitido a atacantes externos desactivar la autenticación en dos factores de una cuenta con solo conocer su dirección de correo electrónico o número de teléfono.

Este bug se centraba principalmente en que Meta no establecía un límite de intentos a la hora de verificar el código de autenticación 2FA enviado al número de teléfono del usuario en concreto, de forma que a base de fuerza bruta se podía conseguir acceso a la cuenta, cambiando el autenticador 2FA a la cuenta del atacante para evitar que la víctima pudiese hacer nada.

A partir de aquí, solo las cuentas de Facebook eran vulnerables, de modo que un usuario podía ser víctima de un ataque de phishing para obtener su contraseña y finalmente ver como su cuenta de Facebook era vulnerada. Sin embargo, si como parte del ataque nuestro 2FA ha sido deshabilitado, recibiremos como mínimo un aviso por correo como el que vemos sobre estas líneas.

En cualquier caso, este problema ya debería haber sido solucionado tal como vemos en TechCrunch, pues se informó de él a mediados de septiembre y en octubre se lanzó un parche.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!