image

Facebook-accounts waren door kritieke kwetsbaarheid over te nemen

donderdag 15 december 2022, 15:01 door Redactie, 4 reacties

Een kritieke kwetsbaarheid maakte het mogelijk voor een aanvaller om Facebook-accounts over te nemen, ook al hadden gebruikers tweefactorauthenticatie (2FA) ingeschakeld, zo ontdekte een beveiligingsonderzoeker. Een andere onderzoeker ontdekte een manier om de sms-gebaseerde 2FA van Facebook te omzeilen. Dat heeft het bedrijf vandaag bekendgemaakt.

Onderzoeker Yaala Abdellah vond een kwetsbaarheid in het telefoonnummer-gebaseerde accountherstel van Facebook waardoor een aanvaller het wachtwoord kon resetten en het account overnemen als er geen 2FA voor was ingeschakeld. De onderzoeker meldde het probleem aan Facebook. Terwijl Facebook de kwetsbaarheid onderzocht vond Abdellah ook een manier om de tweefactorauthenticatie te omzeilen.

Dit probleem was met het eerdere beveiligingslek te combineren, waardoor hij ook accounts waarvoor 2FA was ingeschakeld had kunnen overnemen. Facebook verhielp beide problemen en beloonde de onderzoeker met een bedrag van in totaal 185.000 dollar. Daarvan was 163.000 dollar voor de kwetsbaarheid die het overnemen van accounts mogelijk maakte. Dit is het hoogste bedrag dat Facebook voor een kwetsbaarheid uitkeert.

Abdellah was niet de enige onderzoeker die het dit jaar lukte om de 2FA van Facebook te omzeilen. Onderzoeker Gtm Mänôz ontdekte dat het mogelijk was om de verificatie-pincode, bedoeld om iemands telefoonnummer te bevestigen, door een kwetsbaarheid in de rate-limiting kwetsbaar was voor een bruteforce-aanval, en zo was te achterhalen. Facebook verhielp het probleem en beloonde de onderzoeker met een bedrag van ruim 27.000 dollar.

Reacties (4)
15-12-2022, 15:15 door Anoniem
2FA niet altijd veiliger.
15-12-2022, 15:57 door Anoniem
Door Anoniem: 2FA niet altijd veiliger.
Alleen als het goed is geïmplementeerd.
15-12-2022, 17:10 door Anoniem
Wat heb je eraan om een Facebook account over te nemen?
Alleen voor de lol of pesterij?
Zwak hoor :-(
15-12-2022, 21:18 door Anoniem
Door Anoniem: Wat heb je eraan om een Facebook account over te nemen?
Alleen voor de lol of pesterij?
Zwak hoor :-(
Een bedrijfsaccount. Bijvoorbeeld. Met de minstens nodige mogelijkheden voor transacties. Persoongegevens achterhalen want men waant zich doorgaans veilig bij Meta. Koppelen aan een wallet...et Voilá! Identiteitsfraude op een presenteerblaadje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.