27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞
2023-2-2 18:3:59 Author: 看雪学苑(查看原文) 阅读量:9 收藏

近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。

双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。它是一种需要提供两个身份验证因素以确认身份的身份验证过程,用户需要用两种方式(用户所知道的和用户所拥有的,例如密码和手机收到的验证码)证明自己的身份才能获得账户访问授权。

据悉,该漏洞存在于Facebook母公司Meta用于确认手机号码和电子邮件地址的组件中。Gtm Mänôz注意到,该组件未对验证码做时间和失败次数校验,这使得攻击者在获知受害者的手机号码后,能够暴力破解验证码。

而一旦攻击者成功试出正确的验证码,受害者的电话号码就会与攻击者使用的账户绑定,同时受害者账户的双因素身份验证也会被停用。攻击者在此之后就能够通过钓鱼等方式取得受害者密码,接过受害者账户控制权限。

黑客攻击成功后,用户会收到Facebook官方发送的一封电子邮件,通知其电话号码在Facebook上被其他人注册及验证。

根据Gtm Mänôz博客时间线,其于2022年9月14日向Meta报告了这个漏洞,IT巨头Facebook则于2022年10月17日完成了修复,其表示并未发现此漏洞有被滥用的迹象。Meta为Gtm Mänôz的漏洞发现及报告奖励了27200美元。

博客链接:https://medium.com/pentesternepal/two-factor-authentication-bypass-on-facebook-3f4ac3ea139c

编辑:左右里

资讯来源:Meta

转载请注明出处和本文链接

每日涨知识

安全测试(security tests

安全测试能够验证控制在正常运行。这些测试包括自动扫描、工具辅助渗透测试和手动测试安全性。安全测试应该定期进行,需要关注保护机构的每个关键安全控件。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458493266&idx=2&sn=235736dba6bc7ec0d726a21754ba6044&chksm=b18e91d886f918ce6609c86f32d28f15abe1cf05e71e455b1886a598b1fdc97bcbf02b0aafc7#rd
如有侵权请联系:admin#unsafe.sh