安全研究员发现Facebook、Instagram双重验证漏洞

使用网络服务,应采取如双重验证等额外措施保护账号安全,即使不法份子试图登录你的账号,没有通过第二道关卡的登录码或通过移动设备上的生物识别,也无法掌控账号。不过,Meta曾在登录系统的双重验证上出现漏洞,在安全研究员回应后随即修复。

国外媒体TechCrunch指出,用于管理Facebook和Instagram登录的全新账号管理中心曾存在一项错误,一旦黑客知道用户的电话号码,就有可能强行关闭用户账号的双重验证(two-factor authentication),进而取得账号的控制权。

Meta的账号管理中心能够管理用户在Facebook、Instagram、Horizon的账号设置和互联体验。不过,来自尼泊尔的安全研究员Gtm Mänôz发现,账号管理中心未对输入双重验证的登录码加以限制,可以不断尝试输入。

黑客一旦有了受害人的电话号码,可在账号管理中心输入该电话号码,并连接到黑客使用的Facebook账号,然后暴力破解双重验证的登录码,此为这个漏洞的关键,因为登录码输入的次数没有上限。

“基本上,影响最大的是取消发送登录码的双重验证”,Gtm Mänôz告诉TechCrunch。一旦黑客试岀正确的登录码,受害人的电话号码就会连接黑客的Facebook账号,系统同时会向受害人发信通知,称他们的双重验证已被停用,因为电话号码已被连接到他人账号。接着黑客可以通过网络钓鱼的方式取得受害人的密码,进一步控制账号权限。

Gtm Mänôz去年在账号管理中心发现这个漏洞,并在9月中旬回应Meta,几天后即修复漏洞,Meta也提供他27,200美元作为回应奖金。

Meta发言人Gabby Curtis向TechCrunch表示,发现漏洞时,新的登录系统仍处于小型公开测试阶段,Meta调查后未发现任何人滥用这个漏洞以从事不法行为。

(首图来源:Meta)