E-kraker webbeveiliger ontdekt lek in bescherming Facebook en Instagram

Duimpje omhoog FacebookDe beste bescherming op internet is niet op internet te gaan. Alle andere vormen van beveiliging zijn kraakbaar, ook de tweefactor-bescherming van, bijvoorbeeld, Facebook. Een e-kraker vn een beveiligingsbedrijf vond een manier om de beveiligiging te omzeilen. Dat lek zou nu zijn gedicht.
Meta, de moedermaatschappij van Facebook, haar producten te synchroniseren. Dat schijnt voor Meta een enorme operatie te zijn en daarbij kunnen wel eens fouten worden gemaakt. En inderdaad ontdekte een onderzoeker van de Nepalese webbeveiliger Gtm Mänôz een nogal aanzienlijk lek, 2FA gedoopt. Je bleek de tweefactorbescherming (=2FA) uit te kunnen schakelen als je het mobiele nummer en het wachtwoord van de gebruiker kende.

Die dubbele beveiliging is bijvoorbeeld dat je na je wachtwoord een code krijgt toegezonden die je moet invullen om toegang te krijgen. Het lek zat ‘m in het invoeren van een nieuw mobiel nummer. Die aanmelding wordt geverifieerd door een code te sturen.
Normaal mag je maar een paar keer een verkeerde code invullen, maar dat was hier niet het geval (vergeten?). Een e-kraker zou dus aan zijn eigen profiel het mobiele nummer kunnen toevoegen dat door een ander Instagram- of Facebook-profiel wordt gebruikt voor zijnhaar profiel
Als de code is verstuurd hoeft de kraker alleen maar een willekeurig zestallig getal in te vullen. Met een algoritme kan hij dan allerlei combinaties van zes cijfers versturen tot de juiste combinatie is gevonden, een oertechniek voor e-krakers. Het mobiele nummer wordt verwijderd van het profiel van het doelwit en de 2FA-bescherming gedeactiveerd.

Daarmee heb je nog geen directe toegang tot het profiel van je slachtoffer. De kraker moet op de een of andere manier ook aan de toegangscode van het doelwit komen. Het slachtoffer krijgt natuurlijk een bericht dat een nieuw nummer is toegevoegd aan zijn profiel en dat het oude nummer is verwijderd. De belager kan als hijzij het wachtwoord heeft snel handelen: de dubbele beveiliging uitschakelen en inloggen met het wachtwoord op het beoogde profiel. Het slachtoffer/doelwit is zijnhaar toegang kwijt.

Gedicht

Gtm Mänôz meldde de fout op 14 september en die werd op 17 oktober door Meta gedicht. Meta geeft toe dat de fout toegankelijk was tijdens een kleinschalige openbare bètatest. Er zou geen misbruik van zijn gemaakt. Het bedrijf betaalde een ​​beloning van $ 27 200 aan de ontdekker, de op een na grootste beloning voor 2022. Niet bepaald een vetpot.
Het lek lijkt me niet echt het grote probleem. Een belager moet nogal wat moeite doen en nogal wat ‘voorkennis’ heben om iemands Facebook- of Instagramprofiel te stelen, maar het is natuurlijk vrij schokkend dat de ontwikkelaars van zo’n enorm bedrijf waren vergeten (ruige avond gehad of zo?) om het aantal probeerpogingen te beperken. Maar ja, ik (=as) heb makkelijk praten als leek op alle terreinen.

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.