Een kritieke kwetsbaarheid maakte het mogelijk voor een aanvaller om Facebook-accounts over te nemen, ook al hadden gebruikers tweefactorauthenticatie (2FA) ingeschakeld, zo ontdekte een beveiligingsonderzoeker. Een andere onderzoeker ontdekte een manier om de sms-gebaseerde 2FA van Facebook te omzeilen. Dat heeft het bedrijf vandaag bekendgemaakt.

Onderzoeker Yaala Abdellah vond een kwetsbaarheid in het telefoonnummer-gebaseerde accountherstel van Facebook waardoor een aanvaller het wachtwoord kon resetten en het account overnemen als er geen 2FA voor was ingeschakeld. De onderzoeker meldde het probleem aan Facebook. Terwijl Facebook de kwetsbaarheid onderzocht vond Abdellah ook een manier om de tweefactorauthenticatie te omzeilen.

Dit probleem was met het eerdere beveiligingslek te combineren, waardoor hij ook accounts waarvoor 2FA was ingeschakeld had kunnen overnemen. Facebook verhielp beide problemen en beloonde de onderzoeker met een bedrag van in totaal 185.000 dollar. Daarvan was 163.000 dollar voor de kwetsbaarheid die het overnemen van accounts mogelijk maakte. Dit is het hoogste bedrag dat Facebook voor een kwetsbaarheid uitkeert.

Abdellah was niet de enige onderzoeker die het dit jaar lukte om de 2FA van Facebook te omzeilen. Onderzoeker Gtm Mänôz ontdekte dat het mogelijk was om de verificatie-pincode, bedoeld om iemands telefoonnummer te bevestigen, door een kwetsbaarheid in de rate-limiting kwetsbaar was voor een bruteforce-aanval, en zo was te achterhalen. Facebook verhielp het probleem en beloonde de onderzoeker met een bedrag van ruim 27.000 dollar.