雙重認證已經是現在主流的身份認證方式,在密碼之上再加上一層保安,不過如果系統本身存在漏洞,則不能發揮效果,引致安全隱患。Meta 最新的雙重認證系統,最近就被發現可以簡單破破解,後來漏洞已經被修復。
來自尼泊爾的安全研究員 Gtm Mänôz 發現,當用家在 Meta 新推出的帳戶中心輸入用來登入帳戶的雙重認證碼時,並未設定嘗試次數的限制,變相容許了暴力破解。只要有了目標的電話號碼,然後就可以去帳戶中心輸入電話號碼,暴力破解認證系統,然後帳號擁有權轉移。這個帳戶中心可以連接 Facebook 和 Instagram,因此影響範圍相當龐大。
Gtm Mänôz 強調,這個漏洞的問題是,只要知道目標的手機號碼,就等於破解了雙重認證系統。他已經在去年 9 月向 Meta 報告漏洞,之後漏洞已經被修復,而 Gtm Mänôz 也獲得了 27,200 美元的獎金。Meta 表示,得悉漏洞之後經過調查未有證據顯示有人利用該漏洞進行攻擊。
來源:Medium
