Facebook產業軟體

白帽駭客發現 Facebook 漏洞:兩階段驗證可被惡意破解

一個軟正在使用 Facebook

一位來自尼泊爾的安全研究人員 Gtm Mänôz,發現 Meta 新的帳號中心存在一個嚴重的 Facebook 漏洞:只需要知道與帳號連動的電話號碼,就可以讓駭客惡意破解兩階段驗證。這個新的系統同時用於 Facebook 以及 Instagram 的登入,因此這個漏洞迅速引起 Meta 官方的重視,現在已修復了該漏洞,該名安全研究人員也得到了 27,200 美元的漏洞發現獎金。

Meta 的兩階段驗證功能被破解,同時影響 Facebook 與 Instagram

這個關於 Meta 兩階段驗證的漏洞,其實問題蠻單純的:系統沒有設定「兩階段驗證嘗試次數上限」。只要安全系統未限制用戶的嘗試次數,駭客只要得到受害者的電話號碼,就可以透過暴力破解的方式,來突破兩階段驗證系統。一旦駭客成功破解,Meta 會向受害者傳送一條訊息,通知他們兩階段驗證已被禁用。

白帽駭客發現 Facebook 漏洞:兩階段驗證可被惡意破解 Facebook 漏洞 微軟, AI, Edge, 產業

「基本上,只要知道電話號碼,駭客就可以撤銷任何人的基於簡訊的兩階段驗證。」Mänôz 在接受科技媒體 TechCrunch 訪問時做出了解釋。

Meta 已經修復了漏洞、並頒發獎金給發現者

Mänôz 在 2022 年發現了這個漏洞,並在 9 月中旬向 Meta 公司報告。幾天後,Meta 公司就修復了該漏洞,並向Mänôz支付了27,200美元,以感謝他報回報了這個漏洞。

Meta 公司發言人 Gabby Curtis 表示,在出現該漏洞時,那個新的系統仍處於小規模的公開測試階段。Meta 在收到漏洞報告後進行調查,發現沒有證據表明有人在利用該漏洞破解兩階段驗證,該特定功能的使用量並未出現激增,這意味著在有人濫用這個漏洞以前,Meta 就已經即時修復了,因此用戶不用擔心。

Written by
黃郁棋

《科技人》站長,在科技業打滾十年的老屁股,每天都覺得自己要被新技術取代了,完了完了。

公開留言

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

打賞科技人|祝您有個美好的一天:)