FB、IG出現資安漏洞!駭客可用電話號碼關閉雙重驗證
記者/竹二
使用會員式的網路服務,目前大家都相當熟悉「雙重驗證」,這是為了保護個資與帳號安全,除了身分認證外,通常還會要大家輸入手機號碼來接收驗證碼,但最多人使用的社群龍頭Meta,Facebook和Instagram在登入系統的雙重驗證上卻出現漏洞,在安全研究員回報後才修復。
外媒TechCrunch報導,用於管理Facebook和Instagram登入的全新帳號管理中心曾存在一項bug,一旦駭客知道用戶的電話號碼,就有可能強行關閉用戶帳號的雙重驗證,進而取得帳號的控制權。
來自尼泊爾的安全研究員Gtm Mänôz發現,帳號管理中心未對輸入雙重驗證的登入碼加以限制,可以不斷嘗試輸入,駭客一旦有了受害人的電話號碼,可在帳號管理中心輸入該電話號碼,並連結到駭客使用的Facebook帳號,然後破解雙重驗證的登入碼,漏洞的關鍵是因為登入碼輸入的次數沒有上限。
一旦駭客試岀正確的登入碼,受害人的電話號碼就會連結駭客的Facebook帳號,系統同時會向受害人發信通知,稱他們的雙重驗證已被停用,因為電話號碼已被連結到他人帳號,接著駭客可以透過網路釣魚的方式取得受害人的密碼,進一步控制帳號權限。
Gtm Mänôz去年發現這個漏洞,並在9月中旬回報Meta,幾天後Meta的工程師即修復漏洞,Meta也提供他27200美元做為回報獎金,Meta發言人Gabby Curtis 向TechCrunch表示,發現漏洞時新的登入系統處於小型公開測試階段,也沒有人利用此漏洞做出不法行為。
瀏覽 14,811 次