Peneliti keamanan asal Nepal bernama Gtm Manoz, menemukan bug dalam sistem terpusat baru yang dibuat meta bagi pengguna untuk mengelola login mereka untuk facebook dan Instagram.
Manoz menjelaskan, bahwa bug tersebut memungkinkan hacker jahat untuk mematikan autentikasi dua faktor (2FA) akun hanya dengan mengetahui nomor telepon mereka.
Mengenai hal itu, Manoz menyadari, bahwa Meta tidak menetapkan batas upaya ketika pengguna memasukkan kode autentikasi dua faktor yang digunakan untuk masuk ke akun mereka di pusat akun Meta yang baru. Ini bisa membantu pengguna menautkan semua akun Meta mereka, seperti Facebook dan Instagram.
Dengan nomor telepon korban, hacker bisa masuk ke pusat akun terpusat, memasukkan nomor telepon korban, dan menautkan nomor tersebut ke akun Facebook mereka sendiri, kemudian memaksa kode SMS autentikasi dua faktor, karena tidak ada batas atas jumlah upaya yang bisa dilakukan seseorang.
Setelah hacker mendapat kode yang benar, nomor telepon korban pun ditautkan ke akun facebook hacker tersebut. Setelah peretasan itu berhasil, Meta masih akan mengirim pesan ke korban, dan mengatakan perlindungan dua faktor mereka telah dinonaktifkan karena nomor telepon mereka ditautkan ke akun orang lain.
"Pada dasarnya dampak tertinggi di sini adalah mencabut 2FA berbasis SMS yang bisa dilakukan siapa pun hanya dengan mengetahui nomor teleponnya," ucap Manoz seperti yang dikutip dari laman TechCrunch.
Secara teoritis, hacker bisa mencoba untuk mengambil alih akun Facebook korban, hanya dengan phishing kata sandi, mengingat korban tidak mengaktifkan perlindungan autentikasi dua faktor (2FA) lagi.
Sebagai informasi, Manoz sebelumnya menemukan bug di Pusat Akun Meta tahun lalu, dan melaporkannya ke perusahaan tersebut pada pertengahan September 2022.
Setelah itu, Meta memperbaiki bug tersebut beberapa hari kemudian, dan membayar Manoz sebanyak USD 27.200 atau sekitar Rp407 juta untuk laporan bug tersebut.
Sementara itu, Juru bicara Meta, Gabby Curtis, mengatakan bahwa pada saat bug tersebut ada, sistem login masih dalam uji publik kecil. Curtis pun mengatakan, bahwa penyelidikan Meta setelah bug dilaporkan, menemukan bahwa tidak ada bukti eksploitasi pada akun pengguna.
Selain itu, pihak Meta juga mengatakan mereka tidak melihat lonjakan pengguna fitur tersebut. Hal itu menandakan fakta bahwa tidak ada yang menyalahgunakannya.
Comments
Post a Comment