Facebook ve daha birçok platform, iki faktörlü kimlik doğrulama yani 2FA ile kullanıcıların hesap güvenliğini sağlayarak herhangi bir oluşacak tehlikeye karşı büyük bir önlem almalarını sağlalıyor. İki faktörlü kimlik doğrulama (2FA), tüketicilere genellikle dijital yaşamınızı korumak için en güçlü araçlardan biri olarak pazarlanır. Şifrenizin üzerine ekstra bir güvenlik katmanı ekler. Bununla birlikte, bazı boşluklar bazen siber suçluların bu güvenlik önlemini aşmasına izin verebileceğinden, 2FA kusursuz değildir. Yakın zamanda Meta’nın gizlilik kontrol merkezinde böyle bir güvenlik açığı tespit edildi ve bu, bilgisayar korsanlarının Facebook hesabınızın 2FA korumasını devre dışı bırakmasına izin verebilirdi.
Facebook Güvenlik Tehlikesi Eylül Ayında Ortaya Çıkmıştı
Hack, geçen yılın Eylül ayında Meta‘nın dikkatine sunan Nepalli güvenlik araştırmacısı Gtm Mänôz tarafından ortaya çıkarıldı. Kullanıcıların Facebook ve Instagram gibi Meta uygulamalarındaki ayarlarına erişebilecekleri merkezi bir merkez olarak birkaç gün önce kullanıma sunulan Hesap Merkezi özelliğini oluşturduklarında, muhtemelen bu, Meta mühendisleri tarafından dürüst bir gözetimdi .
Mänôz’un bulguları, bilgisayar korsanlarının kaba kuvvet saldırıları kullanarak ( TechCrunch aracılığıyla ) geçmiş kimlik doğrulama korumalarını gizlemek için bu hatayı kullanmış olabileceklerini ortaya çıkardı. Hack, roket bilimi değil: Kimlik doğrulama için kullandığınız telefon numarasını bilen kötü aktörler, onu kendi hesaplarına bağlamak için kullanabilir ve Facebook hesabınızdan kaldırabilir.
Müstakbel bilgisayar korsanlarının telefon numaranıza gönderilen altı basamaklı bir kimlik doğrulama koduna erişme olasılığı düşük olsa da, hata onların bu kodu doğru yapana kadar birçok kez tahmin etmelerine izin vermiş olabilir. Araştırmacıya göre bu, Meta’nın kullanıcıların tek seferlik kodu girerken yapabilecekleri deneme sayısı için bir üst sınır belirlememesinden kaynaklanıyor. Daha da kötüsü, kaba kuvvet yöntemleri, hesabınızın 2FA korumasının tamamen devre dışı bırakılmasıyla sonuçlanabilirdi.
Neyse ki Meta, Mänôz raporunu aldıktan birkaç ay sonra Aralık ayında sorunu düzeltti (bu rapor için 27.200 $’lık bir hata ödülü aldı). TechCrunch’a yaptığı açıklamada Meta sözcüsü Gabby Curtis, hatanın küçük bir genel test sırasında tespit edildiğini açıkladı. Şirket, bir düzeltme yayınlanmadan önce hatanın vahşi ortamda kullanıldığına dair hiçbir kanıt bulunmadığı konusunda halka güvence verdi.
Meta’nın son yıllarda uygulama paketiyle ilgili güvenlik ve gizlilik sorunlarından adil bir pay aldığı düşünüldüğünde, en son güvenlik açığı – düzeltilmiş olsa da – insanlara piyasaya sürdüğü özellikler hakkında şüpheci olmaları için başka bir neden verebilir.