黑客发现漏洞 允许任何人绕过Facebook和Instagram的二次验证

Source
Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。

来自尼泊尔的安全研究员Gtm Mänôz意识到,当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时,Meta没有设置尝试次数的限制,该中心帮助用户连接他们所有的Meta账户,如Facebook和Instagram。

有了受害者的电话号码或电子邮件地址,攻击者就会到集中的账户中心,输入受害者的电话号码,将该号码与他们自己的Instagram或Facebook账户连接起来,然后用暴力破解双因素短信代码。这是关键的一步,因为某人可以尝试的次数是没有上限的。

一旦攻击者获得正确的代码,受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息,说他们的双因素被禁用,因为他们的电话号码被链接到了别人的账户上。在这个过程中,影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。

facebook-email-two-factor-1.webp

Meta公司发给一个用户的电子邮件的截图,上面写着:"我们想让你知道,你的电话号码在Facebook上被另一个人注册和验证了。"

理论上,鉴于目标不再启用双因素,攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。

Mänôz去年在Meta账户中心发现了这个漏洞,并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞,并向Mänôz支付了27200美元的奖励。

目前还不清楚怀有恶意的黑客是否也发现了这个漏洞,并在Facebook修复它之前利用了它,Meta公司没有立即回应评论请求。