Zwei-Faktor-Authentifizierung: Facebook-Instagram-Bug ermöglichte Umgehung

Rund 27.000 US-Dollar Belohnung war Facebook-Mutterkonzern Meta die Entdeckung und Meldung einer Sicherheitslücke wert, durch die Angreifer die Zwei-Faktor-Authentifizierung in Metas Kontenübersicht hätten umgehen können. Der IT-Forscher Gtm Mänôz hat die Fehler jetzt erläutert.

Facebook-Lücke durch ungebremstes Ausprobieren

Wie Mänôz nun ausführt, stieß er über Instagram auf die Meta-Kontenübersicht. Dort ließen sich unter den persönlichen Details eine E-Mail-Adresse und Telefonnummer ergänzen, die dann zu den Instagram- und Facebook-Konten hinzugefügt werden. Dazu erfolgt eine Zwei-Faktor-Authentifizierung in Form eines sechsstelligen Codes, den Meta per E-Mail oder SMS schickt.

Beim Hinzufügen der Daten stellt die Kontenverwaltung Verbindungen zu API-Endpunkten her, die Angreifer mit einem Proxy abfangen und manipulieren könnten. Da keine Ratenbegrenzung wie Fail2ban seitens Meta implementiert war, die nach zu vielen erfolglosen Versuchen den Zugriff durch einen Rechner temporär blockiert, hätten Angreifer mittels Brute-Force-Attacke alle sechsstelligen Kombinationen durchtesten können. Am Ende hätten Angreifer den Zugang mit einer untergeschobenen Telefonnummer oder E-Mail-Adresse verifiziert.

Das Facebook-Konto von Metas Bug-Bounty-Programm hat den Fehler bestätigt. Das Unternehmen habe "einen von Gtm Mänôz aus Nepal gemeldeten Fehler behoben, der es einem Angreifer ermöglichen konnte, SMS-basierte 2FA zu umgehen. Dazu nutzte er eine fehlende Ratenbegrenzung aus, um per Brute-Force die Verifizierungs-Pin zu erraten, mit der eine Telefonnummer bestätigt wird". Für die Meldung habe Meta eine Belohnung in Höhe von 27.200 US-Dollar ausgezahlt.

Neben den kommerziellen Bug-Bounty-Programmen insbesondere großer und zahlungskräftiger Konzerne gibt es auch nicht-kommerzielle Projekte. Das Open Bug Bounty-Projekt kam Ende vergangenen Jahres auf erkleckliche eine Million Sicherheitslücken im Web, die dadurch behoben werden konnten.

(dmk)