Fałszywe rozszerzenie Chrome kradło dane 2FA administratorów Meta Business
Złośliwe rozszerzenie przeglądarki Google Chrome
Opis
Fałszywe rozszerzenie Chrome kradło dane 2FA administratorów Meta Business
Złośliwe rozszerzenie przeglądarki Google Chrome, podszywające się pod narzędzie do obsługi Meta Business, umożliwiało przejmowanie kont poprzez kradzież sekretów uwierzytelniania dwuskładnikowego (2FA) oraz danych administracyjnych. Eksperci ds. bezpieczeństwa ostrzegają, że incydent mógł narazić firmy na utratę kontroli nad zasobami reklamowymi i kontami w mediach społecznościowych.
Rozszerzenie udające narzędzie produktywności
Rozszerzenie o nazwie CL Suite by @CLMasters było promowane w Chrome Web Store jako narzędzie usprawniające pracę z Meta Business Suite i Facebook Business Manager. Według opisu miało ono m.in. ułatwiać eksport danych, ograniczać wyskakujące okna weryfikacyjne oraz generować kody 2FA.
Analiza przeprowadzona przez firmę Socket wykazała jednak, że w rzeczywistości rozszerzenie potajemnie wyprowadzało dane uwierzytelniające oraz informacje o kontach biznesowych do infrastruktury kontrolowanej przez atakujących.
Kradzież sekretów 2FA i danych firmowych
Najpoważniejszym elementem ataku było przechwytywanie tzw. ziaren TOTP (Time-Based One-Time Password), czyli kluczy umożliwiających generowanie kodów 2FA. Za każdym razem, gdy użytkownik generował kod, rozszerzenie przesyłało zarówno ziarno TOTP, jak i aktualny sześciocyfrowy kod na zewnętrzny serwer.
W praktyce oznacza to, że jeśli napastnik zdobył również hasło do konta, mógł generować poprawne kody 2FA bez ograniczeń czasowych — nawet po usunięciu rozszerzenia z przeglądarki.
Oprócz danych uwierzytelniających CL Suite zbierało także:
identyfikatory kont,
adresy e-mail pracowników i partnerów,
role oraz poziomy dostępu,
dane dotyczące kont reklamowych i rozliczeń,
informacje analityczne z Business Managera.
Część danych miała trafiać do backendu pod domeną getauth[.]pro, a wybrane informacje były przekazywane w czasie zbliżonym do rzeczywistego na kanał Telegram kontrolowany przez operatora.
Sprzeczność z polityką prywatności
Zachowanie rozszerzenia stało w jawnej sprzeczności z jego deklarowaną polityką prywatności. Producent twierdził, że dane 2FA przechowywane są lokalnie, a ewentualne przesyłane informacje mają charakter anonimowych danych użytkowych. Analiza kodu wykazała jednak świadome i ukryte mechanizmy eksfiltracji wrażliwych danych.
Ryzyko dla firm i administratorów
Incydent pokazuje, jak duże zagrożenie mogą stanowić rozszerzenia przeglądarki w środowiskach o podwyższonych uprawnieniach. Administratorzy kont reklamowych i biznesowych posiadają szeroki dostęp do zasobów firmy — ich przejęcie może skutkować stratami finansowymi, wyciekiem danych oraz utratą reputacji.
Eksperci zalecają m.in.:
audyt i usunięcie niezatwierdzonych rozszerzeń,
stosowanie list dozwolonych dodatków (allow list),
rotację haseł i ponowną konfigurację MFA w przypadku podejrzenia kompromitacji,
ograniczenie stałych uprawnień administracyjnych,
monitorowanie nietypowych zmian w kontach reklamowych i ustawieniach rozliczeń.
Sprawa CL Suite jest kolejnym dowodem na to, że nawet pozornie pomocne narzędzia mogą stać się wektorem zaawansowanego ataku. W środowiskach biznesowych każda instalacja rozszerzenia powinna być poprzedzona dokładną weryfikacją i oceną ryzyka.
17.02.2026
Meta Business, Meta Business Suite, Facebook Business Manager, złośliwe rozszerzenie Chrome, kradzież 2FA, przejęcie konta Facebook, bezpieczeństwo kont reklamowych, wyciek danych biznesowych, cyberbezpieczeństwo firm, zagrożenia dla administratorów, fałszywe rozszerzenie Chrome Meta Business, kradzież kodów TOTP, jak zabezpieczyć konto Meta Business, przejęcie konta przez rozszerzenie przeglądarki, zagrożenia rozszerzeń Chrome dla firm, atak na Facebook Business Manager, jak chronić 2FA przed kradzieżą, bezpieczeństwo kont reklamowych Facebook, malware w Chrome Web Store, ochrona MFA w środowisku biznesowym
