FB、IG出現資安漏洞！駭客可用電話號碼關閉雙重驗證

記者／竹二

使用會員式的網路服務，目前大家都相當熟悉「雙重驗證」，這是為了保護個資與帳號安全，除了身分認證外，通常還會要大家輸入手機號碼來接收驗證碼，但最多人使用的社群龍頭Meta，Facebook和Instagram在登入系統的雙重驗證上卻出現漏洞，在安全研究員回報後才修復。

外媒TechCrunch報導，用於管理Facebook和Instagram登入的全新帳號管理中心曾存在一項bug，一旦駭客知道用戶的電話號碼，就有可能強行關閉用戶帳號的雙重驗證，進而取得帳號的控制權。

來自尼泊爾的安全研究員Gtm Mänôz發現，帳號管理中心未對輸入雙重驗證的登入碼加以限制，可以不斷嘗試輸入，駭客一旦有了受害人的電話號碼，可在帳號管理中心輸入該電話號碼，並連結到駭客使用的Facebook帳號，然後破解雙重驗證的登入碼，漏洞的關鍵是因為登入碼輸入的次數沒有上限。

一旦駭客試岀正確的登入碼，受害人的電話號碼就會連結駭客的Facebook帳號，系統同時會向受害人發信通知，稱他們的雙重驗證已被停用，因為電話號碼已被連結到他人帳號，接著駭客可以透過網路釣魚的方式取得受害人的密碼，進一步控制帳號權限。

Gtm Mänôz去年發現這個漏洞，並在9月中旬回報Meta，幾天後Meta的工程師即修復漏洞，Meta也提供他27200美元做為回報獎金，Meta發言人Gabby Curtis 向TechCrunch表示，發現漏洞時新的登入系統處於小型公開測試階段，也沒有人利用此漏洞做出不法行為。

瀏覽 14,283 次