A kétlépcsős hitelesítés egy extra védelmi réteg, melynek segítségével megnehezíthetjük az illetéktelenek belépését a profilunkba. Ez a gyakorlatban úgy néz ki, hogy a felhasználónév és e-mail-cím párosának begépelése után még szükséges egy kód megadása is, melyet SMS-ben vagy egy hitelesítő alkalmazásból kaphatunk meg – sőt, olyan szolgáltatások is vannak már, melyeknél egy fizikai hardverkulcs segítségével azonosíthatjuk magunkat.
Mint az élet legtöbb területén, úgy az informatikában is igaz, hogy semmi sem tökéletes: még a kétlépcsős hitelesítés is lehet hibás, mint az a Facebookot és az Instagramot is tulajdonló Metánál is történt. Egy hiba miatt ugyanis a fenti két szolgáltatást egyben kezelő Fiókközponthoz (Accounts Center) mindössze egy telefonszám ismerete is elegendő lehetett ahhoz, hogy illetéktelenek kiiktassák ezt az extra védelmi réteget.
A hibára a TechCrunch beszámolója szerint Gtm Mänôz, egy nepáli biztonsági kutató figyelt fel. Ő arra jött rá, hogy a Meta a Fiókközpontban nem állított be felső korlátot a próbálkozások számára, tehát bármennyi hitelesítőkód-formációt beírhattak illetéktelenek – addig, amíg nem találták el.
Az áldozat telefonszámának ismeretében a támadó a Fiókközpontban beírhatta a telefonszámot, hozzákapcsolhatta a saját (a támadó) Facebook-fiókját, majd egy brute force nevű technikával „kitalálhatta” azt az SMS-kódot, ami az áldozat telefonjára érkezett. Ez a megoldás gyakorlatilag minden lehetséges kódverziót végigpróbál, és jellemzően sikerre vezet – jelen esetben azért volt rá mód, mert nem volt korlátozva a próbálkozások száma.
Amint a művelet sikerrel zárult, az áldozat telefonszáma már a támadó fiókjához volt rendelve, ami azt eredményezte, hogy az áldozat fiókjánál kikapcsolódott a kétfaktoros hitelesítés – megkönnyítve a fiók feltörését, amihez már csak a jelszót kellett kitalálni.
Ez már nem plusz, ez már az alapelvárás: kapcsolja be a többfaktoros azonosítást, ahol csak tudja
A legtöbben az online bankolás során ismerkedtek meg a kétlépcsős azonosítással: már évekkel ezelőtt is úgy volt, hogy a netbankos jelszó begépelése után az SMS-ben érkező egyedi kódot is be kell gépelni, hogy hozzáférjen az ember a bankszámlájához. A „második jelszót" mára a Facebooktól a vállalati távmunkarendszerekig egyre több szolgáltatás kéri.
Gtm Mänôz még tavaly bukkant a hibára, és jelezte azt a Metának, amiért 27 000 dolláros (körülbelül 9 millió 691 ezer forintos) honoráriumban részesült. A cég néhány nap alatt javította a hibát.
Gabby Curtis, a Meta szóvivője a TechCrunch érdeklődésére elmondta: a hiba észlelésekor a Fiókközpont még egy kisebb nyilvános tesztelési fázisban volt, és nincs jele annak, hogy kihasználták volna a sérülékenységet.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.