Meta: Facebooks 2FA konnte leicht umgangen werden

Ein Fehler in Metas neuen zentralen Accounteinstellungen für Facebook und Instagram hat dazu geführt, dass die Zwei-Faktor-Authentifizierung (2FA) von Facebook leicht umgangen werden konnte. Dazu mussten Angreifer nur die Telefonnummer des jeweiligen Nutzers kennen.

Um die Sicherheitsfunktion zu umgehen, mussten Angreifer die Telefonnummer des Opfers in Metas neuen Accounteinstellungen mit ihrem eigenen Facebook-Konto verknüpfen. An die eingetragene Telefonnummer wird daraufhin ein sechsstelliger Authentifizierungscode gesendet. Diesen konnten die Angreifer durch massenhaftes Ausprobieren erraten, da Meta die Versuche nicht beschränkte.

Sobald die Angreifer den richtigen Code erraten hatten, wurde die Telefonnummer des Opfers mit dem Facebook-Konto der Angreifer verknüpft. Das Opfer erhielt daraufhin eine Nachricht von Meta, dass die Zwei-Faktor-Authentifizierung deaktiviert wurde, da die verwendete Telefonnummer mit einem anderen Konto verknüpft worden sei.

Meta sieht keine Anzeichen für Missbrauch

"Die größte Auswirkung war im Grunde, dass die SMS-basierte 2FA von jedem aufgehoben werden konnte, nur weil er die Telefonnummer kannte", sagte Gtm Mänôz, der die Sicherheitslücke entdeckt hat, dem Onlinemagazin Techcrunch.

Gemeldet hatte Mänôz die Sicherheitslücke bereits im September des vergangenen Jahres. Meta hat den Fehler laut Techcrunch wenige Tage später behoben und dem Sicherheitsforscher ein Bug Bounty von 27.200 US-Dollar ausgezahlt.

Das Login-System habe sich zum Zeitpunkt des Fehlers noch im Stadium eines kleinen öffentlichen Tests befunden, erklärte Meta-Sprecherin Gabby Curtis dem Onlinemagazin Techcrunch. Eine Untersuchung von Meta habe keine Anzeichen für einen Missbrauch ergeben.