(شبكة أجيال)- كشف باحث أمني أن ثغرة في نظام مركزي جديد أنشأته شركة "ميتا" لتمكين المستخدمين من إدارة عمليات تسجيل الدخول الخاصة بهم إلى خدمتي فيسبوك وإنستجرام، سمحت للقراصنة بإيقاف المصادقة الثنائية لحساب الضحية إن عُرف عنوان البريد الإلكتروني أو رقم الهاتف الخاص به.
وأدرك باحث أمني من نيبال أن "ميتا" لم تضع حداً لمحاولات إدخال رمز المصادقة الثنائية المُستخدَم لتسجيل الدخول إلى الحسابات في مركز الحسابات الجديد (Meta Accounts Center)، الذي يُستخدم لمساعدة المستخدمين على ربط حسابات "ميتا" الخاصة بهم، مثل: فيسبوك، وإنستاجرام.
وبمعرفة رقم الهاتف أو عنوان البريد الإلكتروني للضحية، يمكن للمهاجم التوجه إلى مركز الحسابات، ثم إدخال رقم الهاتف الخاص بالضحية لربطه بحسابه على فيسبوك. وبعدئذ يطلب رمز المصادقة الثنائية الذي يأتي عن طريق الرسائل النصية القصيرة (SMS).
ولعدم وجود حد أقصى لمحاولات إدخال الرمز، فإن تمكّن المهاجم من تخمين الرمز، فسيرتبط هاتف الضحية بحساب المهاجم على فيسبوك، وبذلك تتعطل المصادقة الثنائية في حساب الضحية على فيسبوك.
وحتى لو نجح الهجوم في ربط هاتف الضحية بحساب المهاجم، فإن "ميتا" سترسل رسالة إلى الضحية، تفيد بأن المصادقة الثنائية قد عُطِّلت لأن رقم هاتفه ارتبط بحساب شخص آخر.
وفي هذه المرحلة يُمكن للمهاجم أن يحاول الاستيلاء على حساب الضحية على فيسبوك عن طريق التصيد الاحتيالي لكلمة المرور، وذلك بالنظر إلى أن حساب الضحية لم يعد محمياً بالمصادقة الثنائية.
واكتشف الباحث الثغرة في مركز الحسابات الخاص بـ"ميتا" العام الماضي، وأبلغ الشركة بها في منتصف شهر أيلول/ سبتمبر 2022. وبعد شهر من ذلك أصلحت "ميتا" الثغرة، ودفعت للباحث 27,200 دولار أمريكي للإبلاغ عنها.
هذا، وليس من الواضح هل تمكن القراصنة من اكتشاف الثغرة أيضًا واستغلالها قبل أن تصلحها ميتا.
ن.أ-ر.أ
