La protección en dos pasos de Facebook tenía un error y podía burlarse

Cuando protegemos el acceso a una cuenta online con 2FA, con verificación en dos pasos, esperamos que se añada una garantía para evitar que otras personas accedan a nuestra cuenta aunque sapan la contraseña.

Sí es como funciona la verificación en dos pasos en general, ya que recibimos un SMS, o un código con alguna aplicación, para que solo nosotros podamos acceder a bancos, redes sociales y demás.

El caso es que el sistema creado por Meta para administrar los inicios de sesión en Facebook presentó un error que podría haber permitido a los piratas informáticos desactivar las protecciones de dos factores en una cuenta con solo su número de teléfono.

Así lo descubrió el investigador de seguridad de Nepal, Gtm Mänôz, quien descubrió que Meta no establecía un límite de intentos cuando se ingresaba el código de dos factores.

De esta forma, con el número de teléfono de una víctima, un hacker podría vincular ese número a su propia cuenta de Facebook y luego forzar el código de dos factores vía SMS.

Una vez que alguien obtenga el código, y vincula su cuenta, el doble factor se desactiva.

Mänôz reportó el error a Meta en septiembre y la empresa lo resolvió poco después, lo que hizo que ganara una recompensa de más de 27,000 dólares.

No hay indicios de que nadie haya sido atacado por culpa de esta vulnerabilidad, y en estos momentos ya está solucionado el asunto.

Hay detalles sobre el problema en este enlace.