[เกือบบานปลาย] ไม่นานมานี้ Meta ได้ใช้ระบบ Log-In ใหม่ ที่ทำให้สามารถสลับใช้งานบัญชี Facebook , Instagram และ Meta (VR) ไปมาได้ง่ายขึ้น ทว่าระบบยืนยันตัวตนสองชั้นหรือ 2FA เหมือนถูกมองข้ามไป จนล่าสุดมีคนพบบั๊กร้ายแรงของระบบดังกล่าว
Gtm Mänôz นักวิจัยด้านความปลอดภัยจากเนปาล เผยค้นพบบั๊กร้ายแรงของ Facebook ที่อาจทำให้ใครก็ตาม สามารถข้าม 2FA ไปได้เลย
ตามปกติระบบ 2FA นั้น จะใช้การส่งรหัส SMS สำหรับ Log-in เข้าสมาร์ทโฟนของผู้ใช้ก่อน ทว่าด้วยบั๊กที่ค้นพบใน Accounts Center หรือระบบสลับบัญชีของแพลตฟอร์มในเครือ Meta นั้น
ก็อาจส่งผลให้ผู้ไม่หวังดีอาจนำเบอร์โทรของเหยื่อ (ที่บางคนอาจใส่ไว้ในหน้าโปรโฟล์ Facebook) ไปเชื่อมโยงบัญชีของตัวเองได้เลย เนื่องด้วยหน้าใส่รหัส SMS นั้น เกิดบั๊กทำให้สามารถใส่รหัสได้หลาย ๆ ครั้งโดยไม่จำกัด จนหากผู้ไม่หวังดีได้รับรหัสที่ถูกต้อง ก็ทำการผูกเบอร์โทรได้นั้นเอง
หลังผูกสำเร็จ ทางระบบของ Meta จะส่งข้อความถึงเหยื่อด้วยว่า ระบบ 2FA ถูกปิดใช้งานแล้ว เนื่องจากหมายเบอร์โทรศัพท์ ถูกเชื่อมโยงกับบัญชีของบุคคลอื่น
Mänôz ได้แจ้งบั๊กนี้กับทาง Meta ไปในเดือนกันยายนปีที่แล้ว ไม่นานก็ได้รับการแก้ไขช่องโหว่โดนทันที ทั้งนี้ทางโฆษกของ Meta ยังระบุด้วยว่า ในตอนที่พบบั๊กนั้น เป็นช่วงที่ระบบ Accounts Center ยังอยู่ในช่วงทดลองใช้งาน ทำให้มีผู้ใช้จำนวนไม่มาก
ท้ายนี้ Meta ยังได้มอบเงินรางวัลแก่ Gtm Mänôz ถึง 27,200 ดอลลาร์ฯ หรือประมาณ 891,140 บาท สำหรับการแจ้งบั๊กดังกล่าว ซึ่งปัจจุบันได้รับการแก้ไขเรียบร้อย
ที่มา : Techspot