متا به دلیل نقصی که فیسبوک 2FA را دور زد، جایزه باگ 27200 دلاری به محقق اعطا کرد.

علاوه بر این، هیچ محدودیتی برای تعداد تلاش‌های ناموفق وجود نداشت که می‌توان به کادر تأیید وارد کرد. این نظارت به مانوز اجازه داد تا 2FA را در حساب شخصی خود مجبور کند تا شماره تلفن خود را با پروفایل دیگری در فیس بوک مرتبط کند. تنها هشدار پس از دزدیده شدن شماره تلفن در ایمیلی از متا به قربانی می آید که به آنها اطلاع می دهد که به حساب کاربری دیگری پیوند داده شده است.

با وجود برخورد نسبتاً کم نقص، متا جایزه 27200 دلاری باگ را به Mänôz اعطا کرد. برای اولین شکار حشراتش خیلی ضعیف نیست.

Mänôz در ماه سپتامبر به Meta اطلاع داد و آسیب‌پذیری را بلافاصله برطرف کرد. یکی از سخنگویان گفت که وقتی Mänôz مشکل را پیدا کرد، مرکز حساب‌های متا هنوز در مرحله بتا بود و فقط برای تعداد کمی از کاربران در دسترس است. این نماینده همچنین خاطرنشان کرد که تحقیقات متا هیچ افزایشی در استفاده از این ویژگی نشان نداد که نشان می‌دهد هکرها از آن سوء استفاده نکرده‌اند.

Mänôz به TechCrunch گفت: «اساساً بیشترین تأثیر در اینجا لغو 2FA مبتنی بر پیامک هر کسی بود که فقط شماره تلفن را می دانست.

متا در چند سال گذشته چندین بار در مورد ویژگی های ورود به حساب های مختلف خود دچار مشکل شده است. در سال 2021، هنگامی که هنگام پیکربندی مجدد وب سایت، همه را از فیس بوک خارج کرد، باعث وحشت خفیف شد. سال گذشته، بسیاری از کاربران را به دلیل فعال نکردن «محافظت فیس‌بوک» در مهلت تعیین شده توسط ایمیل رسمی متا که به طرز مشکوکی شبیه یک کلاهبرداری فیشینگ بود، عمداً از حساب‌هایشان قفل کرد.

وی خاطرنشان کرد که این صفحه به کاربران این امکان را می دهد که هنگام پیوند دادن یک شماره تلفن با حساب های خود ارتباط برقرار کنند. کاربران به سادگی شماره تلفن خود را وارد می کنند و سپس کد شش رقمی 2FA را که سیستم برای آنها ارسال می کند. با این حال، Mänôz متوجه شد که اگر کد اشتباه وارد شود، مرکز حساب فقط از کاربر می خواهد که به جای ارسال یک کد جدید، آن را دوباره وارد کند.

در حالی که مضر بودن این سوء استفاده عمدتاً محدود به ایجاد مجدد آزاردهنده شماره تلفن مالک است، اما به طور موثر 2FA را در حساب قربانی غیرفعال می کند، البته به طور موقت. تا زمانی که هدف اقدامی انجام ندهد، آنها در معرض حملات فیشینگ رمز عبور هستند.