Um erro no Meta Accounts Center, sistema de gerenciamento de contas da Meta, permitia que invasores desligassem a autenticação de dois fatores (2FA) no Facebook apenas com o e-mail ou telefone de uma vítima.
Criado em 2020, o Meta Accounts Center foi relançado em 19.jan.2023 e permite que usuários gerenciem suas contas no Facebook e Instagram em um único lugar.
A falha foi descoberta por Gtm Mänôz, um pesquisador de segurança do Nepal, em set.2022, mas apenas noticiada agora pelo Techcrunch. A empresa solucionou o problema dias depois de ser alertada por Mänôz e pagou U$27 mil ao pesquisador.
COMO ACONTECEU? Gtm Mänôz descobriu que era possível usar o telefone ou e-mail da conta da vítima para desativar o 2FA. Bastava tentar logar no sistema e , como não havia limite de tentativas, o pesquisador podia tentar vários códigos seguidos até acertar. Assim ficava livre para vincular o telefone da vítima a outra conta no Facebook e desativar a verificação em duas etapas.
AJUDINHA PAGA. Muitos usuários criticam a Meta por não fornecer ajuda específica a usuários que tiveram suas contas hackeadas, e o problema parece estar cada vez mais frequente. Em nov.2022, a empresa começou uma investigação interna para identificar funcionários que fazem parte de um suposto esquema para “vender ajuda” a usuários dispostos a pagar para recuperarem contas.