Un fallo de seguridad en Facebook permitiría saltarse la verificación en dos pasos en el login

Un fallo de seguridad en Facebook permitiría saltarse la verificación en dos pasos en el login

Ha sido resuelto un importante fallo de seguridad en Facebook que permitía saltarse la verificación en dos pasos y que afectaba a la parte del login, es decir, al apartado que se utiliza para iniciar sesión en la red social, pero afortunadamente ya está todo arreglado.

Una vulnerabilidad así suponía una grave amenaza para los perfiles de Facebook, que hubiesen podido ser hackeados por ciberdelincuentes. Así se dio cuenta el usuario Gtm Mänôz que descubrió la vulnerabilidad, que fue reportada y ya ha sido solucionada definitivamente.

La verificación en dos pasos de Facebook que puedes activar fácilmente añade una capa de protección extra a tu cuenta, de manera que dificultas el acceso a tu cuenta a los ciberdelincuentes, y ahí es precisamente donde estaba este fallo que ahora detallaremos.

Pero no deja de ser un asunto grave que conviene conocer al detalle ahora que ya está solventado. Todo gira en torno al número de teléfono confirmado por el usuario de la red social y que se emplea para realizar la verificación en dos pasos a la hora de acceder a Facebook.

Al parecer, con tan solo conocer el número de teléfono de una cuenta, cualquier ciberdelincuente podía acudir al Centro de cuentas de Meta para vincular ese número a su propia cuenta y forzar de alguna manera la llegada del SMS que envía el código de verificación.

No existía un límite de intentos para probar ese teléfono, por lo tanto, ahí se podía haber probado infinidad de veces cualquier número de un desconocido. Eso suponía que el atacante podía vincular su perfil de Facebook y el número de la víctima con los riesgos que eso conllevaba.

Como extremo más preocupante, lo que podría haber ocurrido si un ciberdelincuente hubiese aprovechado la vulnerabilidad y esta hubiese tenido éxito, es que se podría haber deshabilitado la verificación en dos pasos de la cuenta de Facebook de su víctima, y luego apoderarse de ella.

Con este método de seguridad deshabilitado debido a que el teléfono se vinculó a otra cuenta diferente a la de su propietario, en este caso a la del atacante, tenía más fácil entra en el perfil de la cuenta hackeada, pero para ello también tenía que averiguar su contraseña.

Su descubridor fue consciente de la gravedad de la vulnerabilidad que ponía en peligro millones de cuentas si algún ciberdelincuente hubiese podido aprovechar este fallo, y por eso envió un completo informe a Meta para detallarle lo ocurrido, que lo investigó y solucionó rápidamente.

El hacker que lo descubrió envió el informe en septiembre de 2022 y ya para el 17 de octubre, algo más de 1 mes después, Meta corrigió el error en el login de Facebook que permitía deshabilitar la verificación en dos pasos. Afortunadamente, el error quedó atrás y quedó todo solucionado

Vía: Pentester Nepal

  • Ver Comentarios