他人が2要素認証を無効にできる脆弱性がFacebookに存在していた。現在は修正済み

　ネパール在住のハッカーGtm Mänôz氏は20日、Facebookには他人が2要素認証を無効にできてしまう脆弱性がかつて存在していたことを明らかにした。同氏はこの問題を9月14日にMetaに送信し、10月17日に修正された。同氏は発見により報酬金を得たという。

　Metaのアカウントセンターには、メールアドレスと電話番号をInstagramとリンクされたFacebookアカウントの両方に追加するオプションがあり、メールまたは電話番号で受け取った6桁の2要素認証コードを入力してログインする機能がある。

　しかしこれを実装した当初は6桁のコードの入力回数上限がなかったため、成功するまでチャレンジするブルートフォース攻撃を行ない、ログインした後に2要素認証をオフにするといったことができてしまったという。

　Facebookのチームは、「最大の潜在的な影響があった」として、当初予定していた報酬金に加えて、12月15日に追加の報酬金を支払った。支払額は2万7,200ドル。また、このバグはFacebookからも報告された。