A 2FA tem vindo a ser apresentada aos consumidores como uma das ferramentas mais fortes para proteger a nossa vida digital, adicionando uma camada extra de segurança à password que usamos. No entanto, o 2FA mostrou que não é infalível, e alguns erros ocasionais podem permitir que os cibercriminosos contornem essa medida de segurança e “façam das suas”.
Uma dessas falhas de segurança foi detetada no final do ano passado (mas só agora tornada pública) no hub de controlo de privacidade da Meta, o que permitiu que hackers desabilitassem a proteção 2FA das contas de Facebook que bem entenderam.
O hack foi descoberto pelo investigador nepalês Gtm Mänôz, que alertou a Meta em setembro de 2022.
Esta foi uma descoberta significativa, já que a Meta parece estar a colocar cada vez mais ênfase nas funcionalidades do “Centro de contas”, permitindo que o utilizador faça a partir dali a gestão de configurações e informações de segurança, além de também o usar para ir navegando pelas suas outras contas.
Embora seja improvável que os possíveis hackers tenham acesso a um código de autenticação de seis dígitos enviado para o número de telefone do utilizador, o bug pode ter permitido que tentassem inserir esse código várias vezes até acertarem.
Segundo o pesquisador, esta falha deveu-se ao facto de a Meta não definir um limite máximo para o número de tentativas que os utilizadores podem fazer ao inserir o código único. As tentativas dos hackers podem ter resultado na desativação completa da proteção 2FA de várias contas.
A Meta acabou por corrigir o bug em dezembro do ano passado e Gtm Mänôz ganhou uma recompensa de mais de 27 mil euros por ter descoberto este bug. A empresa nunca chegou a fazer uma declaração pública sobre este assunto, mas recentemente, numa apresentação, testou até ao limite a 2FA e funcionou sem mácula.
