Seorang bug bounty berhasil menemukan celah pada Meta Accounts Center yang belum lama ini diluncurkan. Celah itu memungkinkan hacker melakukan serangan brute-force untuk mengambil alih two factor authentication (2FA) pada akun Facebook hanya dengan mengetahui nomor ponsel korban.

Peneliti keamanan asal Nepal, Gtm Mänôz, pertama kali menemukan celah itu ketika pengguna dapat menautkan akun Instagram dan Facebook mereka hanya dengan menambahkan nomor ponsel yang sudah terkoneksi dengan akun Facebook via Meta Accounts Center. Setelah nomor ponsel dimasukkan, Meta akan mengirim kode sekali pakai untuk memverifikasi identitas pengguna.

Baca Juga: Video Ini Lebih Lawas Dari Video Tertua di Youtube, Kok Bisa? • Jagat Review

Namun, tidak adanya batasan dalam percobaan memasukkan kode verifikasi tersebut memungkinkan hacker melancarkan serangan brute-force (mengacak kode) hingga menemukan nomor verifikasi yang cocok untuk menjadikan nomor ponsel tersebut terkoneksi dengan akun Facebook hacker. Setelah itu, akun Facebook korban kini jadi tak memiliki 2FA karena nomor tersambung ke akun lain.

Dari situlah hacker bisa saja melakukan langkah selanjutnya untuk membobol akun Facebook korban, misalnya saja dengan cara phising. Tentunya akun tersebut sekarang jauh lebih rentan karena sudah tak memiliki keamanan tambahan two factor authentication tadi.

Untungnya, bersamaan dengan dipublikasikannya celah tersebut, Meta mengumumkan telah memperbaiki masalah itu dan memberi hadiah Mänôz sebesar 27.000 USD atau sekitar Rp404 juta untuk menemukan bug tersebut. Meski Meta memastikan belum ada hacker yang memanfaatkan celah itu, tapi pengguna diminta untuk memperbarui semua aplikasi Meta yang dimiliki, baik Facebook dan Instagram, ke versi terbaru untuk menghindari hal yang tak diinginkan.

Sumber