Um bug no sistema de autenticação de dois fatores do Facebook permitia que cibercriminosos desativassem o mecanismo e roubassem contas na plataforma apenas com o número de telefone das vítimas. A falha foi descoberta por um especialista do Nepal, conforme relatou o TechCrunch na segunda-feira (30).

O problema em questão afetava a recém-lançada Central de Contas da Meta, que permite vincular todas as contas das plataformas do conglomerado pertencentes a um mesmo usuário. Segundo o pesquisador de segurança Gtm Mänôz, a empresa não definia um limite de tentativas para verificar o código de autenticação enviado ao número cadastrado.

Dessa forma, bastava ao invasor saber o telefone do alvo, ir ao sistema de vinculação dos logins e associar o número à sua própria conta, desativando a proteção extra. Em seguida, ele poderia tentar obter a senha do perfil alvo por meio de um ataque de phishing.

Mänôz disse que a desativação do segundo fator de proteção só foi possível graças a não definição do limite de tentativas para realizar o procedimento. Durante o teste feito por ele, a plataforma lhe enviou um e-mail informando que a funcionalidade não estava mais habilitada após o seu telefone ter sido vinculado à conta de outra pessoa.

Correção já lançada

A falha na Central de Contas da Meta foi descoberta em meados de setembro do ano passado. Na ocasião, o pesquisador relatou a vulnerabilidade à companhia e recebeu mais de US$ 27 mil como recompensa, o equivalente a AOA 13.615.422,30 em valores atuais.

A vulnerabilidade foi corrigida logo após o relato e não há evidências de que tenha sido explorada maliciosamente, pois na época o recurso estava em fase beta e disponível para uma pequena parcela de usuários. A companhia disse ainda que o erro afetava somente as contas do Facebook.