Cuando protegemos el acceso a una cuenta online con 2FA, con verificación en dos pasos, esperamos que se añada una garantía para evitar que otras personas accedan a nuestra cuenta aunque sepan la contraseña.
Sí es como funciona la verificación en dos pasos en general, ya que recibimos un SMS, o un código con alguna app, para que solo nosotros podamos entrar en bancos, redes sociales y demás.
El caso es que el sistema creado por Meta para administrar inicios de sesión en Facebook presentó un error que podría haber permitido a los piratas informáticos desactivar las protecciones de dos factores en una cuenta con solo conocer su número de teléfono.
Así lo ha destapado el investigador de seguridad de Nepal, Gtm Mänôz, quien descubrió que Meta no establecía un límite de intentos cuando se ingresaba el código de dos factores.
De esta forma, con el número de teléfono de una víctima, un hacker podía podría vincular ese número a su propia cuenta de Facebook y luego forzar el código de dos factores mediante SMS.
Una vez que alguien obtiene el código, y vincula su cuenta, el doble factor se desactiva.
Mänôz informó el error a Meta en septiembre y la empresa lo solucionó poco después, lo que hizo que ganara una recompensa de más de 27.000 dólares.
No hay indicios de que nadie haya sido atacado por culpa de esta vulnerabilidad, y en estos momentos ya está solucionado el asunto.
Hay detalles sobre el problema en este enlace.