Ca să fim mai exacți, se poate reseta parola pentru conturile de Facebook dacă atacatorul cunoaște numărul de telefon al victimei, folosit pentru autentificarea în doi pași. Acest lucru este posibil din cauza unei vulnerabilități SS7, ce permite unui hacker cu destule cunoștințe tehnice să redirecționeze SMS-ul pe propriul telefon.
Pentru asta e nevoie ca cel care încearcă atacul să aibă telefonul înregistrat în rețeaua Facebook, să știe numărul de telefon al victimei și contul de Facebook al acestuia, iar Facebook Texts să fie activat. Sunt mulți de și în ecuație, dar dacă asta se întâmplă (și se cam întâmplă) atunci șansele ca cineva să reseteze parola sunt mari.
Un astfel de atac a fost arătat de Positive Technologies pentru Forbes și poate fi urmărit mai jos:
Acest tip de vulnerabilitate ridică niște întrebări majore vizavi autentificarea în doi pași care folosește SMS-ul pentru trimiterea celui de-al doilea cod.
O modalitate de protecție ar fi dezactivarea autentificării prin SMS și înlocuirea ei cu trimiterea unui cod pe o adresă de email sigură.
via Forbes
Deja este un update la articolul de pe Forbes, în care Facebook anunță că vulnerabilitatea a fost remediată.