黑客發現漏洞 允許任何人繞過Facebook和Instagram的二次驗證


Meta公司為用戶管理其Facebook和Instagram的登錄而創建的一個新的集中式系統中的一個錯誤可能使惡意的黑客僅僅通過知道他們的電子郵件地址或電話號碼就能關閉一個賬戶的雙因素保護措施。

來自尼泊爾的安全研究員Gtm Mänôz意識到,當用戶在新的Meta賬戶中心輸入用於登錄賬戶的雙因素驗證內容時,Meta沒有設置嘗試次數的限制,該中心幫助用戶連接他們所有的Meta賬戶,如Facebook和Instagram。

有受害者的電話號碼或電子郵件地址,攻擊者就會到集中的賬戶中心,輸入受害者的電話號碼,將該號碼與他們自己的Instagram或Facebook賬戶連接起來,然後用暴力破解雙因素短信代碼。這是關鍵的一步,因為某人可以嘗試的次數是沒有上限的。

一旦攻擊者獲得正確的代碼,受害者的電話號碼就會與攻擊者的賬戶聯系起來。一次成功的攻擊仍然會導致Meta公司向受害者發送一條信息,說他們的雙因素被禁用,因為他們的電話號碼被鏈接到別人的賬戶上。在這個過程中,影響最大的是僅僅知道電話號碼就可以取消任何人的基於短信的2FA。

facebook-email-two-factor-1.webp

Meta公司發給一個用戶的電子郵件的截圖,上面寫著:"我們想讓你知道,你的電話號碼在Facebook上被另一個人註冊和驗證。"

理論上,鑒於目標不再啟用雙因素,攻擊者可以嘗試通過網絡釣魚獲取密碼來接管受害者的賬戶。

Mänôz去年在Meta賬戶中心發現這個漏洞,並在9月中旬向公司報告。Meta公司在一個月後修復該漏洞,並向Mänôz支付27200美元的獎勵。

目前還不清楚懷有惡意的黑客是否也發現這個漏洞,並在Facebook修復它之前利用它,Meta公司沒有立即回應評論請求。


相關推薦

2023-11-26

而發現恩智浦的黑客攻擊。黑客最初使用的是 LinkedIn 或 Facebook 等平臺上以前泄露的數據憑證,然後使用暴力攻擊來猜測密碼。他們還通過更改電話號碼繞過雙重驗證措施。恩智浦是全球半導體市場的主要參與者,在 2015 年收購

2022-11-03

系統依賴通勤智能卡,而這些智能卡容易被利用,並允許任何人有效地免費旅行。安全研究員NikhilKumarSingh發現一個影響德裡地鐵智能卡系統的漏洞。該研究人員表示,該漏洞利用充值過程,允許任何人為地鐵列車的智能卡充值

2022-06-29

為你掃描的是網吧電腦的登錄二維碼,實際上你掃描的是黑客電腦上的登錄二維碼。發現沒有?這中間是有個時間差的,隻要黑客趁登錄二維碼沒有失效,把自己的二維碼發給瞭你,掃完之後你又沒有仔細看,順手點瞭個確認。

2024-03-01

司將其一個內部數據庫暴露在互聯網上,沒有設置密碼,任何人隻需知道數據庫的公共 IP 地址,就可以使用網絡瀏覽器訪問其中的敏感數據。阿努拉格-森(Anurag Sen)是一位白帽黑客黑客,也是發現敏感但無意中泄露到互聯網上

2022-08-17

中的漏洞,可以瀏覽系統上的任意文件。利用這個漏洞,黑客可以繞過所有的Mac安全防護層、更改核心系統文件、訪問網絡攝像頭。蘋果雖然在去年發佈修復補丁,不過在舊版macOS系統中依然存在。去年 10 月,蘋果在 macOS Monterey

2024-02-02

證券交易委員會)斷開所有IvantiVPN設備的連接,因為惡意黑客目前正在利用眾多零日漏洞造成"嚴重威脅"。盡管聯邦機構通常有數周的時間來修補漏洞,但 CISA 已下令在 48 小時內切斷 Ivanti VPN 設備的連接。&quo

2022-08-06

個包含 540 萬個 Twitter 帳戶配置文件的列表。此漏洞允許任何人提交電子郵件地址或電話號碼,驗證它是否與 Twitter 帳戶關聯,並檢索關聯的帳戶 ID。然後,威脅參與者使用此 ID 來抓取該帳戶的公共信息。這使得攻擊者能夠在 20

2022-10-11

ortinet周一指出,上周修補的CVE-2022-40684身份驗證繞過安全漏洞,正在野外被廣泛利用。作為管理界面上的一個身份驗證繞過漏洞,遠程威脅參與者可利用其登錄FortiGate防火墻、FortiProxyWeb代理、以及FortiSwitchManager(FSWM)本地管理

2022-08-16

被馬斯克大吹特吹的“星鏈(Starlink)”,黑客竟然隻需170塊人民幣就能輕松攻破?沒錯,一位比利時小哥在今年的黑帽大會(BlackHatConference)上公開演講展示自己是如何做到的。他自制一個可以連接到星鏈終端的定制黑客工具

2022-08-24

安裝和運行的 ZIP 文件格式對其進行加密,從而允許通過黑客提供的代碼來控制硬件。截圖(來自:Programming With Style)期間最幸運的,就是“greenluigi1”在 Mobis 網站上找到一個 Linux 安裝腳本 —— 該腳本旨在創建一個合適的 ZIP

2022-09-02

交網站和互聯網公司的總部都位於加州,Youtube、Facebook、Instagram、Twitter、Snapchat以及TikTok的美國總部,而加州的互聯網立法也一直走在美國各州的前列。本周加州參議院以33票全票通過《加州年齡相符設計法》(California Age-Ap

2023-11-22

的安全研究人員在嵌入筆記本電腦的前三大指紋傳感器中發現多個漏洞,這些傳感器被企業廣泛用於WindowsHello指紋驗證,以確保筆記本電腦的安全。戴爾、聯想甚至微軟的筆記本電腦都被繞過微軟的WindowsHello指紋驗證。微軟的進

2022-10-07

示該項目將舉行一系列鏈上治理投票,以決定是否凍結被黑客攻擊的資金,以及是否應該為抓到肇事黑客提供賞金。"從更廣泛的角度來看,我們已經看到一系列針對跨鏈橋梁漏洞的攻擊,"該博文寫道。"我們將公開分

2022-09-01

ndroid版TikTok應用中存在的一個高危漏洞,或致數億用戶被黑客“一鍵劫持賬戶”。一旦TikTok用戶點擊攻擊者特制的一個鏈接,黑客就可能在用戶不知情的狀況下劫持Android上的任意TikTok用戶賬戶,然後訪問各項主要功能——包括