一位來自尼泊爾的安全研究人員 Gtm Mänôz,發現 Meta 新的帳號中心存在一個嚴重的 Facebook 漏洞:只需要知道與帳號連動的電話號碼,就可以讓駭客惡意破解兩階段驗證。這個新的系統同時用於 Facebook 以及 Instagram 的登入,因此這個漏洞迅速引起 Meta 官方的重視,現在已修復了該漏洞,該名安全研究人員也得到了 27,200 美元的漏洞發現獎金。
Meta 的兩階段驗證功能被破解,同時影響 Facebook 與 Instagram
這個關於 Meta 兩階段驗證的漏洞,其實問題蠻單純的:系統沒有設定「兩階段驗證嘗試次數上限」。只要安全系統未限制用戶的嘗試次數,駭客只要得到受害者的電話號碼,就可以透過暴力破解的方式,來突破兩階段驗證系統。一旦駭客成功破解,Meta 會向受害者傳送一條訊息,通知他們兩階段驗證已被禁用。
「基本上,只要知道電話號碼,駭客就可以撤銷任何人的基於簡訊的兩階段驗證。」Mänôz 在接受科技媒體 TechCrunch 訪問時做出了解釋。
Meta 已經修復了漏洞、並頒發獎金給發現者
Mänôz 在 2022 年發現了這個漏洞,並在 9 月中旬向 Meta 公司報告。幾天後,Meta 公司就修復了該漏洞,並向Mänôz支付了27,200美元,以感謝他報回報了這個漏洞。
Meta 公司發言人 Gabby Curtis 表示,在出現該漏洞時,那個新的系統仍處於小規模的公開測試階段。Meta 在收到漏洞報告後進行調查,發現沒有證據表明有人在利用該漏洞破解兩階段驗證,該特定功能的使用量並未出現激增,這意味著在有人濫用這個漏洞以前,Meta 就已經即時修復了,因此用戶不用擔心。
公開留言