En sårbarhet i ett centraliserat system som Meta skapat för användare för att hantera sina inloggningar i Facebook och Instagram hade kunnat göra det möjligt för hackare att stänga av ett kontos tvåfaktorsskydd bara genom att veta deras telefonnummer.
En buggjägare hittade felet förra året och belönades med 27 200 dollar, motsvarande 283 000 kronor, av Meta som kort därpå lagade felet. Det rapporterar Techcrunch.
Det var en säkerhetsanalytiker från Neapel som insåg att Meta inte satt upp en gräns för antalet försök när en användare skrev in tvåfaktorskoden som används för att logga in på konton i det nya Meta Accounts Center – som hjälper användare att länka alla sina Meta-konton, som Facebook och Instagram.
Med ett offers telefoner skulle en angripare kunna gå till det centraliserade kontocentret, ange offrets telefonnummer, länka det till sitt eget Facebook-konto och sedan testa sig fram till sms-koden. Det här brukar kallas bruteforce-attacker.
Meta uppger för Techcrunch att vid tidpunkten då buggen upptäcktes, i höstas, så var systemet fortfarande i testläge och att de inte funnit några bevis på att det utnyttjats.
