Gtm Mänôz, một nhà nghiên cứu bảo mật tại Nepal đã phát hiện ra rằng Trung tâm tài khoản mới của Meta không giới hạn số lần thử khi người dùng nhập mã xác thực 2 lớp.
Trung tâm tài khoản mới của Meta cho phép người dùng liên kết tất cả các tài khoản Facebook và Instagram. Ảnh: TIỂU MINH |
Cụ thể, đầu tiên hacker sẽ thu thập số điện thoại của nạn nhân, sau đó đi đến Trung tâm tài khoản mới của Meta, liên kết số điện thoại đó với tài khoản Facebook của họ. Việc không giới hạn số lần thử mã xác thực 2 lớp đã tạo điều kiện cho phép hacker dễ dàng chiếm tài khoản của nạn nhân.
Khi kẻ tấn công lấy đúng mã xác thực, số điện thoại của nạn nhân sẽ được liên kết với tài khoản Facebook của hacker. Nạn nhân sẽ nhận được tin nhắn từ Meta với nội dung nói rằng tính năng bảo mật 2 lớp của họ đã bị vô hiệu hóa do số điện thoại của họ được liên kết với tài khoản của người khác.
Chia sẻ với TechCrunch, Mänôz cho biết: “Về cơ bản, tác động lớn nhất ở đây là khả năng vượt qua tính năng bảo mật 2 lớp khi chỉ cần biết số điện thoại”.
Email Meta thông báo cho người dùng về việc số điện thoại cá nhân đã được đăng ký và xác minh bởi một người khác trên Facebook. Ảnh: Gtm Mänôz |
Mänôz đã tìm thấy lỗi này trong Trung tâm tài khoản mới của Meta vào năm ngoái và đã báo cáo lỗi cho công ty vào giữa tháng 9. Meta đã sửa lỗi vài ngày sau đó và trả cho Mänôz 27.200 USD.
Người phát ngôn của Meta - Gabby Curtis nói với TechCrunch rằng tại thời điểm xảy ra lỗi, hệ thống đăng nhập vẫn đang ở giai đoạn thử nghiệm công khai (hạn chế).
Curtis cũng nói rằng cuộc điều tra của Meta sau khi lỗi được báo cáo đã phát hiện ra rằng không có bằng chứng về việc khai thác trong thực tế và Meta không thấy việc sử dụng tính năng cụ thể đó tăng đột biến, điều này cho thấy thực tế là không có ai đang lạm dụng nó.
Facebook, Messenger… từ lâu đã nổi tiếng là những ứng dụng “ngốn” pin hàng đầu trên điện thoại. Ảnh: Pexels |
Thông tin này tiếp tục được củng cố khi cựu nhân viên Facebook - George Hayward (một nhà khoa học dữ liệu) tiết lộ về Negative testing (thử nghiệm tiêu cực), cho phép các công ty công nghệ bí mật làm cạn kiệt pin trên điện thoại của người dùng dưới danh nghĩa thử nghiệm các tính năng, kiểm tra tốc độ ứng dụng hoặc cách hình ảnh được tải.
Hayward đã bị Meta, công ty mẹ của Facebook sa thải vào tháng 11 vì từ chối tham gia thử nghiệm tiêu cực. “Tôi đã nói với người quản lý, điều này có thể gây hại cho ai đó. Đừng làm tổn thương mọi người”, anh chia sẻ với The New York Post.
Nếu cảm thấy điện thoại hao pin hơn so với bình thường, bạn có thể gỡ bỏ Facebook và Messenger để cảm nhận sự khác biệt. Trong trường hợp cảm thấy hữu ích, bạn đừng quên chia sẻ bài viết cho nhiều người cùng biết.