FB、IG出現資安漏洞!駭客可用電話號碼關閉雙重驗證

記者/竹二

使用會員式的網路服務,目前大家都相當熟悉「雙重驗證」,這是為了保護個資與帳號安全,除了身分認證外,通常還會要大家輸入手機號碼來接收驗證碼,但最多人使用的社群龍頭Meta,Facebook和Instagram在登入系統的雙重驗證上卻出現漏洞,在安全研究員回報後才修復。

用於管理Facebook和Instagram登入的全新帳號管理中心曾存在一項bug,一旦駭客知道用戶的電話號碼,就有可能強行關閉用戶帳號的雙重驗證,進而取得帳號的控制權。(圖/取自Pixabay)

外媒TechCrunch報導,用於管理Facebook和Instagram登入的全新帳號管理中心曾存在一項bug,一旦駭客知道用戶的電話號碼,就有可能強行關閉用戶帳號的雙重驗證,進而取得帳號的控制權。

來自尼泊爾的安全研究員Gtm Mänôz發現,帳號管理中心未對輸入雙重驗證的登入碼加以限制,可以不斷嘗試輸入,駭客一旦有了受害人的電話號碼,可在帳號管理中心輸入該電話號碼,並連結到駭客使用的Facebook帳號,然後破解雙重驗證的登入碼,漏洞的關鍵是因為登入碼輸入的次數沒有上限。

一旦駭客試岀正確的登入碼,受害人的電話號碼就會連結駭客的Facebook帳號,系統同時會向受害人發信通知,稱他們的雙重驗證已被停用,因為電話號碼已被連結到他人帳號,接著駭客可以透過網路釣魚的方式取得受害人的密碼,進一步控制帳號權限。

Gtm Mänôz去年發現這個漏洞,並在9月中旬回報Meta,幾天後Meta的工程師即修復漏洞,Meta也提供他27200美元做為回報獎金,Meta發言人Gabby Curtis 向TechCrunch表示,發現漏洞時新的登入系統處於小型公開測試階段,也沒有人利用此漏洞做出不法行為。

瀏覽 14,811 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button