黑客发现漏洞 允许任何人绕过Facebook和Instagram的二次验证-全球聚焦


(资料图)

Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。

来自尼泊尔的安全研究员Gtm Mänôz意识到,当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时,Meta没有设置尝试次数的限制,该中心帮助用户连接他们所有的Meta账户,如Facebook和Instagram。

有了受害者的电话号码或电子邮件地址,攻击者就会到集中的账户中心,输入受害者的电话号码,将该号码与他们自己的Instagram或Facebook账户连接起来,然后用暴力破解双因素短信代码。这是关键的一步,因为某人可以尝试的次数是没有上限的。

一旦攻击者获得正确的代码,受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息,说他们的双因素被禁用,因为他们的电话号码被链接到了别人的账户上。在这个过程中,影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。

Meta公司发给一个用户的电子邮件的截图,上面写着:"我们想让你知道,你的电话号码在Facebook上被另一个人注册和验证了。"

理论上,鉴于目标不再启用双因素,攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。

Mänôz去年在Meta账户中心发现了这个漏洞,并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞,并向Mänôz支付了27200美元的奖励。

目前还不清楚怀有恶意的黑客是否也发现了这个漏洞,并在Facebook修复它之前利用了它,Meta公司没有立即回应评论请求。

推荐DIY文章
世界微资讯!电脑重装系统的步骤是什么 如果win10电脑使用一键重装系统可行吗
电脑无法开机显示unknown hard error蓝屏 如果遇到蓝屏问题 可直接参考教程设置|世界今头条
windows10系统下如何添加、删除桌面图标 如何生成不是快捷方式的桌面图标
全球看点:电脑修改局域网IP的详细步骤 更改为静态IP地址的方法步骤是什么
电脑安装不了打印机驱动程序如何处理 这个解决方法百试百灵-环球观天下
今日看点:win7的防火墙怎么关闭 系统自带的和安全软件自带的用法有什么不同
精彩新闻

超前放送