Facebook和Instagram新漏洞披露,任何人都可以繞過二次驗證機制

Facebook和Instagram新漏洞披露,任何人都可以繞過二次驗證機制

Meta公司為使用者管理其Facebook和Instagram的登錄而建立的一個新的集中式系統,不過目前被披露的一個錯誤,可能為惡意駭客大開後面。駭客只要知道用戶的電子郵件地址或電話號碼,就能關閉一個帳戶的雙因素保護措施。

來自尼泊爾的安全研究員Gtm Mänôz意識到,當使用者在新的Meta帳戶中心輸入用於登錄帳戶的雙因素驗證內容時,Meta沒有設定嘗試次數的限制。該中心幫助使用者連接他們所有的Meta帳戶,如Facebook和Instagram。

有了受害者的電話號碼或電子郵件地址,攻擊者就會到帳戶中心,輸入受害者的電話號碼,將該號碼與他們自己的Instagram或Facebook帳戶連接起來,然後用暴力破解雙因素簡訊程式碼。這是關鍵的一步,因為可以嘗試的次數是沒有上限的。

一旦攻擊者獲得正確的程式碼,受害者的電話號碼就會與攻擊者的帳戶聯絡起來。一次成功的攻擊仍然會導致Meta公司向受害者傳送一條資訊,說他們的雙因素被停用,因為他們的電話號碼被連結到了別人的帳戶上。

在這個過程中,影響最大的是僅僅知道電話號碼就可以取消任何人的基於簡訊的2FA。

Meta公司發給一個使用者的電子郵件的截圖,上面寫著:「我們想讓你知道,你的電話號碼在Facebook上被另一個人註冊和驗證了。」

理論上,鑑於受害者不再啟用雙因素,攻擊者可以嘗試通過網路釣魚獲取密碼來接管受害者的帳戶。

Mänôz去年在Meta帳戶中心發現了這個漏洞,並在9月中旬向公司報告。Meta公司在一個月後修復了該漏洞,並向Mänôz支付了27200美元的獎勵。

目前還不清楚懷有惡意的駭客是否也發現了這個漏洞,並在Facebook修復它之前利用了它,Meta公司沒有立即回應評論請求。

cnBeta
作者

cnBeta.COM(被網友簡稱為CB、cβ),官方自我定位「中文業界資訊站」,是一個提供IT相關新聞資訊、技術文章和評論的中文網站。其主要特色為遊客的匿名評論及線上互動,形成獨特的社群文化。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則