欢迎来到CL境外营销平台,平台经营Instagram、Facebook、YouTube、TIKTOK、Twitter粉丝、点赞、播放量服务、客服微信:coolfensi 24小时在线欢迎咨询购买!
公告:
欢迎来到CL境外营销平台,平台经营Instagram、Facebook、YouTube、TIKTOK、Twitter粉丝、点赞、播放量服务、客服微信:coolfensi 24小时在线欢迎咨询购买!

Instagram自助下单-安全研究员披露Fa-INS加播放量平台

首页 Instagram   作者:coolfensi  2023年03月09日  热度:93  评论:0     
时间:2023-3-9 12:57   热度:93° 

近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。

双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。它是一种需要提供两个身份验证因素以确认身份的身份验证过程,用户需要用两种方式(用户所知道的和用户所拥有的,例如密码和手机收到的验证码)证明自己的身份才能获得账户访问授权。

据悉,该漏洞存在于Facebook母公司Meta用于确认手机号码和电子邮件地址的组件中。Gtm Mänôz注意到,该组件未对验证码做时间和失败次数校验,这使得攻击者在获知受害者的手机号码后,能够暴力破解验证码。

而一旦攻击者成功试出正确的验证码,受害者的电话号码就会与攻击者使用的账户绑定,同时受害者账户的双因素身份验证也会被停用。攻击者在此之后就能够通过钓鱼等方式取得受害者密码,接过受害者账户控制权限。

黑客攻击成功后,用户会收到Facebook官方发送的一封电子邮件,通知其电话号码在Facebook上被其他人注册及验证。

根据Gtm Mänôz博客时间线,其于2022年9月14日向Meta报告了这个漏洞,IT巨头Facebook则于2022年10月17日完成了修复,其表示并未发现此漏洞有被滥用的迹象。Meta为Gtm Mänôz的漏洞发现及报告奖励了27200美元。

博客链接:https://medium.com/pentesternepal/two-factor-authentication-bypass-on-facebook-3f4ac3ea139c

编辑:左右里

每日涨知识

安全测试(security tests)

安全测试能够验证控制在正常运行。这些测试包括自动扫描、工具辅助渗透测试和手动测试安全性。安全测试应该定期进行,需要关注保护机构的每个关键安全控件。