安全研究員發現 Facebook、Instagram 雙重驗證漏洞
使用網路服務,應採取如雙重驗證等額外措施保護帳號安全,即使不肖份子試圖登入你的帳號,沒有通過第二道關卡的登入碼或透過行動裝置上的生物辨識,也無法掌控帳號。不過,Meta 曾在登入系統的雙重驗證上出現漏洞,在安全研究員回報後隨即修復。
國外媒體 TechCrunch 指出,用於管理 Facebook 和 Instagram 登入的全新帳號管理中心曾存在一項錯誤,一旦駭客知道用戶的電話號碼,就有可能強行關閉用戶帳號的雙重驗證(two-factor authentication),進而取得帳號的控制權。
Meta 的帳號管理中心能夠管理用戶在 Facebook、Instagram、Horizon 的帳號設定和互聯體驗。不過,來自尼泊爾的安全研究員 Gtm Mänôz 發現,帳號管理中心未對輸入雙重驗證的登入碼加以限制,可以不斷嘗試輸入。
駭客一旦有了受害人的電話號碼,可在帳號管理中心輸入該電話號碼,並連結到駭客使用的 Facebook 帳號,然後暴力破解雙重驗證的登入碼,此為這個漏洞的關鍵,因為登入碼輸入的次數沒有上限。
「基本上,影響最大的是取消發送登入碼的雙重驗證」,Gtm Mänôz 告訴 TechCrunch。一旦駭客試岀正確的登入碼,受害人的電話號碼就會連結駭客的 Facebook 帳號,系統同時會向受害人發信通知,稱他們的雙重驗證已被停用,因為電話號碼已被連結到他人帳號。接著駭客可以透過網路釣魚的方式取得受害人的密碼,進一步控制帳號權限。
Gtm Mänôz 去年在帳號管理中心發現這個漏洞,並在 9 月中旬回報 Meta,幾天後即修復漏洞,Meta 也提供他 27,200 美元做為回報獎金。
Meta 發言人 Gabby Curtis 向 TechCrunch 表示,發現漏洞時,新的登入系統仍處於小型公開測試階段,Meta 調查後未發現任何人濫用這個漏洞以從事不法行為。
(首圖來源:Meta)