27200美元賞金!安全研究員披露Facebook、Instagram雙因素身份驗證漏洞
近日,一名來自尼泊爾的安全研究員Gtm Mänôz,披露了一個影響Instagram和Facebook的雙因素身份驗證漏洞。在向Meta報告此漏洞後,其將一筆27200美元的賞金收入了囊中。
雙因素身份驗證(2FA)是目前常見的一種保護使用者賬戶安全的手段。它是一種需要提供兩個身份驗證因素以確認身份的身份驗證過程,使用者需要用兩種方式(使用者所知道的和使用者所擁有的,例如密碼和手機收到的驗證碼)證明自己的身份才能獲得賬戶訪問授權。
據悉,該漏洞存在於Facebook母公司Meta用於確認手機號碼和電子郵件地址的元件中。Gtm Mänôz注意到,該元件未對驗證碼做時間和失敗次數校驗,這使得攻擊者在獲知受害者的手機號碼後,能夠暴力破解驗證碼。
而一旦攻擊者成功試出正確的驗證碼,受害者的電話號碼就會與攻擊者使用的賬戶繫結,同時受害者賬戶的雙因素身份驗證也會被停用。攻擊者在此之後就能夠透過釣魚等方式取得受害者密碼,接過受害者賬戶控制許可權。
駭客攻擊成功後,使用者會收到Facebook官方傳送的一封電子郵件,通知其電話號碼在Facebook上被其他人註冊及驗證。
根據Gtm Mänôz部落格時間線,其於2022年9月14日向Meta報告了這個漏洞,IT巨頭Facebook則於2022年10月17日完成了修復,其表示並未發現此漏洞有被濫用的跡象。Meta為Gtm Mänôz的漏洞發現及報告獎勵了27200美元。
部落格連結:https://medium.com/pentesternepal/two-factor-authentication-bypass-on-facebook-3f4ac3ea139c
編輯:左右裡
資訊來源:Meta
轉載請註明出處和本文連結
每日漲知識
安全測試(security tests)
安全測試能夠驗證控制在正常執行。這些測試包括自動掃描、工具輔助滲透測試和手動測試安全性。安全測試應該定期進行,需要關注保護機構的每個關鍵安全控制元件。
﹀
﹀
﹀
相關文章
- 發現Google Home智慧音響竊聽漏洞,安全研究員獲得107500美元漏洞賞金Go
- Linux中為SSH啟用雙因素身份驗證Linux
- 谷歌雙因素驗證金鑰套裝公開發售 現價50美元谷歌
- 安全研究員無意間發現谷歌手機一個鎖屏繞過漏洞,收穫七萬美元賞金谷歌
- 推特:2020下半年的雙因素身份驗證採用率仍偏低
- 網站漏洞檢測 身份驗證碼與重要操作驗證碼安全問題網站
- SpringBoot專案新增2FA雙因素身份認證Spring Boot
- 如何解決兩因素和多因素身份驗證的大問題
- 作業系統(AIX)雙因素身份認證解決方案作業系統AI
- 防火牆(360天堤)雙因素身份認證解決方案防火牆
- Apple MDM 工具中存在身份驗證漏洞APP
- CVSS評分10.0,思科披露其BroadWorks平臺身份認證繞過漏洞
- OpenAI推出漏洞賞金計劃,最高獎勵2萬美元OpenAI
- Duo Security 研究人員對PayPal雙重驗證的繞過
- ZDI研究人員披露四個Microsoft Exchange中的0day漏洞ROS
- 1.6.3. 資料庫管理員身份驗證方法資料庫
- GitHub 現在支援安全金鑰和生物識別選項進行身份驗證Github
- 身份證驗證工具類
- 雙因素認證解決方案
- 俄羅斯最大社交平臺明年將強制實施雙因素身份認證
- 1.6.3.1. 關於資料庫管理員身份驗證方法資料庫
- 【PTA】查驗身份證
- 騰訊安全玄武實驗室披露多個區塊鏈安全漏洞報告區塊鏈
- PHP 驗證身份證號碼PHP
- C++身份證號驗證C++
- 數百萬臺操作技術裝置受影響,研究人員披露INFRA:HALT漏洞
- 國外研究人員披露金融平臺危及數百萬使用者的SSRF漏洞
- VMware 修復CVSS評分9.8的身份驗證繞過漏洞
- 支招 | 如何解決身份驗證系統安全問題
- log4j漏洞引發美國國土安全部的漏洞賞金計劃
- 新特性解讀 | MySQL 8.0 多因素身份認證MySql
- C++身份核驗介面程式碼、身份證OCR、身份證實名認證APIC++API
- js正則驗證身份證號JS
- python - 驗證身份證合法性Python
- 中國身份證號驗證庫
- 客戶端身份驗證客戶端
- 舊香港身份證校驗
- kafka SASL/PLAIN 身份驗證KafkaAI