Pesquisador novato descobre bug no Facebook e recebe US$ 27.200 de recompensa

Vinte e sete mil dólares. Nada mal para um “caçador de bugs” de primeira viagem. Em julho do ano passado, o calouro Gtm Mänôz descobriu uma falha que permitia burlar o segundo fator de autenticação (2FA) do Meta Accounts Center – ferramenta que gerencia em um só lugar as contas do Instagram e do Facebook.

Imagem: reprodução

A página permite que os usuários associem um número de telefone às suas contas. Ao fazer isso, como um fator extra de proteção, recebem um código de autenticação (2FA) de seis dígitos por SMS.

O problema que Mänôz descobriu é que se um código errado for digitado, a Central de Contas apenas solicita que o usuário o insira novamente – quando deveria enviar um novo código. Para piorar, o calouro descobriu que não havia limite de quantas tentativas erradas alguém poderia inserir na caixa de verificação.

Imagem: reprodução

Bug no 2FA do Facebook (Meta)

Resultado: ele conseguiu forçar brutalmente o 2FA em sua própria conta para associar seu número de telefone a um perfil aleatório do Facebook. Em seguida, a própria Meta envia um e-mail para a vítima informando que sua sua conta foi vinculada a um telefone “x”.

“Basicamente, o maior impacto aqui foi revogar o 2FA baseado em SMS de qualquer pessoa apenas sabendo o número de telefone”, disse Mänôz ao TechCrunch.

Em setembro, Mänôz reportou o bug à Meta, que corrigiu a vulnerabilidade imediatamente. Um porta-voz disse que quando o problema foi descoberto, o Meta Accounts Center ainda estava em beta e disponível apenas para um pequeno número de usuários. E observou também que a investigação da Meta não revelou picos no uso desse recurso, indicando que os hackers não o exploraram.

Fonte: Medium