Modo 2FA do Facebook podia ser desactivado por atacantes

Um investigador de segurança descobriu que qualquer pessoa podia desactivar o sistema 2FA no Facebook, bastando saber o número de telefone do utilizador.

Os sistemas 2FA visam dar segurança aos utilizadores de que, o login e tentativa de realização de operações sensíveis, pedirá um código adicional que dará protecção acrescida contra casos em que um atacante se apodere da password do utilizador. No entanto, essa suposta segurança acrescida de nada serve se puder ser desactivada pelos próprios atacantes, e era precisamente esse o caso no sistema do Facebook.

O serviço de gestão de contas da Meta não fazia qualquer tipo de limitação de tentativas, e com isso abria as portas a uma táctica que podia desactivar o sistema 2FA. O atacante fazia a associação do número de telefone da vítima a uma conta falsa, e uma vez que não havia limite nas tentativas, depois podia fazer um ataque brute-force para acertar com o código que tinha sido enviado para o telefone da vítima (ao qual o atacante não tinha acesso).

Quando acertava no código, o telefone passava a ficar associado à conta criada pelo atacante, automaticamente desactivando o modo 2FA da conta legítima a que estava associado anteriormente.

A única atenuante é que os utilizadores recebiam uma mensagem a dizer que o modo 2FA tinha sido desactiva, o que seria logo um sinal de alarme. Mas, no caso do ataque ser efectuado num horário bem escolhido (enquanto a potencial vítima estivesse a dormir), poderiam passar-se horas até que a vítima detectasse isso.

Esta falha foi reportada à Meta em Setembro do ano passado e foi corrigida poucos dias depois, valendo uma recompensa de 27.200 dólares ao investigador que a descobrir. A Meta diz também que não tem qualquer indício de que esta falha tivesse sido utilizada por atacantes.