臉書母公司Meta為用戶管理臉書和Instagram帳號登入的全新集中式系統,去年被發現有漏洞,讓黑客有可乘之機,只需知道用戶的電話號,就能關掉帳號的雙重要素認證保護。
來自尼泊爾的保安研究員馬諾茲(Gtm Manoz)去年發現,當用戶在新Meta帳號中心輸入登入其帳號的雙重要素認證驗證碼時,Meta沒有為試圖登入次數設限。
Meta帳號中心的設置,是有助用戶將他們臉書和Instagram等所有Meta旗下平台的帳號連結起來。有了受害人的電話號碼,黑客可前往這個集中式帳號中心,輸入受害人的電話號碼,將該號碼連結到他們自己的臉書帳號,並強行破解雙重要素認證手機短訊(SMS)驗證碼。這是重要一步,因為Meta沒有限制某人這樣做的次數。
當黑客取得正確的驗證碼時,受害人的電話號碼就會與黑客的臉書帳號連結起來,結果導致Meta向受害人發出訊息,稱他們的雙重要素認證已經停止,因為他們的電話號碼已經連結其他人的帳號。
馬諾茲向科技新聞TechCrunch說︰「最大問題是只要知道電話號碼,就可以撤銷任何人為SMS基礎的2FA(雙重要素認證)。」
馬諾茲發現這個漏洞後,去年9月中向Meta報告。Meta在收到報告後數天修復漏洞,並就報告漏洞向馬諾茲發放2萬7,200元獎金。
Meta發言人庫蒂斯(Gabby Curtis)向TechCrunch表示,發現漏洞之時,該登入系統僅處於少數對外測試階段。庫蒂斯續稱,Meta在收到漏洞報告後的調查,沒有發現遭外界濫用的證據,又指Meta沒有看到這種特定功能的使用量急增,反映它沒有遭受濫用。本報訊
