Meta公司為使用者管理其Facebook和Instagram的登錄而建立的一個新的集中式系統,不過目前被披露的一個錯誤,可能為惡意駭客大開後面。駭客只要知道用戶的電子郵件地址或電話號碼,就能關閉一個帳戶的雙因素保護措施。
來自尼泊爾的安全研究員Gtm Mänôz意識到,當使用者在新的Meta帳戶中心輸入用於登錄帳戶的雙因素驗證內容時,Meta沒有設定嘗試次數的限制。該中心幫助使用者連接他們所有的Meta帳戶,如Facebook和Instagram。
有了受害者的電話號碼或電子郵件地址,攻擊者就會到帳戶中心,輸入受害者的電話號碼,將該號碼與他們自己的Instagram或Facebook帳戶連接起來,然後用暴力破解雙因素簡訊程式碼。這是關鍵的一步,因為可以嘗試的次數是沒有上限的。
一旦攻擊者獲得正確的程式碼,受害者的電話號碼就會與攻擊者的帳戶聯絡起來。一次成功的攻擊仍然會導致Meta公司向受害者傳送一條資訊,說他們的雙因素被停用,因為他們的電話號碼被連結到了別人的帳戶上。
在這個過程中,影響最大的是僅僅知道電話號碼就可以取消任何人的基於簡訊的2FA。
理論上,鑑於受害者不再啟用雙因素,攻擊者可以嘗試通過網路釣魚獲取密碼來接管受害者的帳戶。
Mänôz去年在Meta帳戶中心發現了這個漏洞,並在9月中旬向公司報告。Meta公司在一個月後修復了該漏洞,並向Mänôz支付了27200美元的獎勵。
目前還不清楚懷有惡意的駭客是否也發現了這個漏洞,並在Facebook修復它之前利用了它,Meta公司沒有立即回應評論請求。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!