Безбедносниот аналитичар познат по прекарот Џи-ти-ем Маноз сфатил дека инженерите на „Мета“ не го дефинирале јасно бројот на обиди за внесување на кодот за време на двојната автентикација.

Оваа безбедносна процедура се користи при најава на корисникот на „Фејсбук“. Првичната цел на новата услуга беше поврзување уникатни сметки на социјалните мрежи „Фејсбук“ и „Инстаграм“.

Доволно е хакерот да го знае телефонскиот број на жртвата за измама. Бројот се внесува во даденото поле кое се наоѓа во центарот на „Мета акаунтс“, а потоа хакерот го поврзува со сопствената сметка на „Фејсбук“. Потоа се обидува да добие пристап со внесување случаен двоен код за автентикација. Овој чекор во измамата е клучен бидејќи инженерите на „Мета“ не го ограничиле бројот на обиди за внесување код што може да ги направат хакерите.

Откако хакерот ќе погоди валиден код (без разлика колку долго може да трае овој процес), телефонот на жртвата е поврзан со фејсбук-профилот на напаѓачот. „Мета“ потоа ќе го информира засегнатиот корисник дека е невозможна двојна автентикација бидејќи телефонскиот број на корисникот е поврзан со туѓа сметка. Расплетот на настаните може да биде многу неизвесен бидејќи корисникот повеќе нема контрола врз својот профил.

– Во суштина, главниот чекор во хакирањето на сметката беше прекинување на врската помеѓу телефонскиот број и фејсбук-профилот врз основа на двојна автентикација – објаснува Маноз.

Откако успешно ќе го изврши главниот чекор, напаѓачот може да ја преземе сметката на жртвата со фишинг, при што ќе го измами корисникот да ја открие лозинката. Тогаш профилот на измамениот корисник на „Фејсбук“ би бил целосно контролиран од хакерот.