bencede
New member
Facebook’un ana şirketi Meta, saldırganların Meta’nın hesap genel bakışında iki faktörlü kimlik doğrulamayı atlamış olabileceği bir güvenlik açığını keşfedip bildirdiği için yaklaşık 27.000 ABD Doları ödül aldı. Bilgisayar araştırmacısı Gtm Mänôz şimdi hataları açıkladı.
Dizginsiz deneme yanılma yoluyla Facebook açığı
Mänôz’un şimdi açıkladığı gibi, Instagram aracılığıyla meta hesap genel görünümüne rastladı. Orada, kişisel veriler altında, daha sonra Instagram ve Facebook hesaplarınıza eklenen bir e-posta adresi ve bir telefon numarası ekleyebilirsiniz. İki faktörlü kimlik doğrulama, Meta’nın e-posta veya SMS yoluyla gönderdiği altı basamaklı bir kod biçiminde gelir.
Veriler eklendikçe Hesap Yönetimi, saldırganların müdahale etmek ve manipüle etmek için bir proxy kullanabileceği API uç noktalarına bağlantılar kurar. Meta, Fail2ban gibi çok sayıda başarısız denemeden sonra bir bilgisayardan erişimi geçici olarak engelleyen bir hız sınırı uygulamadığından, saldırganlar tüm altı basamaklı kombinasyonları test etmek için kaba kuvvet kullanabilirdi. Sonunda, saldırganlar erişimi bir telefon numarası veya e-posta adresiyle doğrulayacaktı.
Meta’nın hata ödül programı Facebook hesabı hatayı doğruladı. Şirket “Nepalli Gtm Mänôz tarafından bildirilen ve bir saldırganın, bir telefon numarası için kullanılan doğrulama pininin onaylandığını kaba kuvvetle tahmin etmek için oran azaltma eksikliğinden yararlanarak SMS tabanlı 2FA’yı atlamasına izin verebilecek bir hatayı düzeltti”. Meta, rapor için 27.200 $ ödül ödedi.
Özellikle büyük ve itibarlı şirketler için ticari bug bounty programlarına ek olarak, ticari olmayan projeler de vardır. Geçen yılın sonunda, Open Bug Bounty projesi Web’de bu şekilde düzeltilebilecek bir milyon güvenlik açığı belirledi.
(dmk)
Haberin Sonu
Dizginsiz deneme yanılma yoluyla Facebook açığı
Mänôz’un şimdi açıkladığı gibi, Instagram aracılığıyla meta hesap genel görünümüne rastladı. Orada, kişisel veriler altında, daha sonra Instagram ve Facebook hesaplarınıza eklenen bir e-posta adresi ve bir telefon numarası ekleyebilirsiniz. İki faktörlü kimlik doğrulama, Meta’nın e-posta veya SMS yoluyla gönderdiği altı basamaklı bir kod biçiminde gelir.
Veriler eklendikçe Hesap Yönetimi, saldırganların müdahale etmek ve manipüle etmek için bir proxy kullanabileceği API uç noktalarına bağlantılar kurar. Meta, Fail2ban gibi çok sayıda başarısız denemeden sonra bir bilgisayardan erişimi geçici olarak engelleyen bir hız sınırı uygulamadığından, saldırganlar tüm altı basamaklı kombinasyonları test etmek için kaba kuvvet kullanabilirdi. Sonunda, saldırganlar erişimi bir telefon numarası veya e-posta adresiyle doğrulayacaktı.
Meta’nın hata ödül programı Facebook hesabı hatayı doğruladı. Şirket “Nepalli Gtm Mänôz tarafından bildirilen ve bir saldırganın, bir telefon numarası için kullanılan doğrulama pininin onaylandığını kaba kuvvetle tahmin etmek için oran azaltma eksikliğinden yararlanarak SMS tabanlı 2FA’yı atlamasına izin verebilecek bir hatayı düzeltti”. Meta, rapor için 27.200 $ ödül ödedi.
Özellikle büyük ve itibarlı şirketler için ticari bug bounty programlarına ek olarak, ticari olmayan projeler de vardır. Geçen yılın sonunda, Open Bug Bounty projesi Web’de bu şekilde düzeltilebilecek bir milyon güvenlik açığı belirledi.
(dmk)
Haberin Sonu