FB和INS新漏洞披露，任何人都可以绕过二次验证机制

IGN • 2023年10月2日 06:30 • 投稿

Meta公司为用户管理其社交平台和INS的登录而建立的一个新的集中式系统，不过目前被披露的一个错误，可能为恶意黑客大开后面。黑客只要知道用户的电子邮件地址或电话号码，就能关闭一个帐户的双因素保护措施。

来自尼泊尔的安全研究员Gtm Mänôz意识到，当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时，Meta没有设定尝试次数的限制。该中心帮助用户连接他们所有的Meta账户，如社交平台和INS。

有了受害者的电话号码或电子邮件地址，攻击者就会到账户中心，输入受害者的电话号码，将该号码与他们自己的INS或社交平台账户连接起来，然后用暴力破解双因素短信代码。这是关键的一步，因为可以尝试的次数是没有上限的。

一旦攻击者获得正确的代码，受害者的电话号码就会与攻击者的帐户联络起来。一次成功的攻击仍然会导致Meta公司向受害者传送一条信息，说他们的双因素被停用，因为他们的电话号码被连结到了别人的账户上。

在这个过程中，影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。

▲ Meta公司发给一个用户的电子邮件的截图，上面写着：「我们想让你知道，你的电话号码在社交平台上被另一个人注册和验证了。」

理论上，鉴于受害者不再启用双因素，攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。

Mänôz去年在Meta账户中心发现了这个漏洞，并在9月中旬向公司报告。 Meta公司在一个月后修复了该漏洞，并向Mänôz支付了27200美元的奖励。

目前还不清楚怀有恶意的黑客是否也发现了这个漏洞，并在社交平台修复它之前利用了它，Meta公司没有立即回应评论请求。