Una falla di Instagram avrebbe potuto consentire a un utente malintenzionato di bypassare l’autenticazione a due fattori su Facebook di un utente preso come target, tramite il Meta Accounts Center.
A scoprirlo è stato il bug hunter e ricercatore di sicurezza Gtm Mänôz, che ha condiviso in un blogpost i dettagli sulla vulnerabilità e su come è stato in grado di riprodurla.
A metà settembre 2022, Gtm Mänôz ha riportato la sua scoperta a Meta, che a ottobre ha implementato il fix. La scoperta è stata menzionata anche nel programma di bug bounty ufficiale di Meta e l’azienda stessa ha confermato l’importanza e la criticità della scoperta.
Il bug segnalato da Gtm Mänôz – ha sottolineato Meta – avrebbe potuto consentire a un aggressore di bypassare la 2FA basata su SMS sfruttando un problema di rate-limiting nel forzare il pin di verifica richiesto per confermare il numero di telefono di qualcuno. Meta ha assegnato al ricercatore un bug bounty di 27.200 dollari per questa segnalazione.
L’impatto della vulnerabilità poteva essere molto elevato. Se sfruttata, poteva portare a revocare l’autenticazione a due fattori basata su SMS di Facebook di chiunque. Nonché a bypassare la verifica dei punti di contatto per email o telefono sconosciuti e già registrati in Instagram e Facebook.
Sintetizzando (i dettagli approfonditi possono essere consultati nel blog post dello stesso Gtm Mänôz), un aggressore poteva inserire il numero di telefono della vittima, collegarlo al proprio account Facebook e quindi forzare con il brute-forcing il codice SMS a due fattori.
Ciò poteva accadere perché, nell’interfaccia dell’Accounts Center centralizzato di Meta, non c’era un limite massimo al numero di tentativi che si potevano fare.
Un portavoce di Meta ha dichiarato alla testata TechCrunch, che ha pubblicato un report sulla vicenda, che, al momento del bug, il sistema di login era ancora allo stadio di test pubblico limitato.
Il portavoce dell’azienda ha anche detto a TechCrunch che l’indagine di Meta dopo la segnalazione del bug ha rilevato che non c’erano prove di exploitation e che Meta non ha rilevato un picco nell’utilizzo di quella particolare funzione, il che segnalerebbe il fatto che nessuno ne stava abusando.