這是一個可能造成傷害的錯誤。 Meta 在去年夏天部署的新帳戶空間連接系統中存在一個嚴重缺陷,該缺陷可能允許經驗豐富的駭客繞過 Facebook 上的雙重身份驗證 (A2F)。
電腦安全研究員 Gtm Mänôz 透露,有關該漏洞的發現和利用的詳細資訊引發了對連接嘗試缺乏限制的質疑。在 Medium 上發表的一篇文章中,他解釋說,他設法將可能受害者的電話號碼連結到他自己的元帳戶空間。
具體來說,Mänôz 輸入了他應該會收到六位數驗證碼的電話號碼。但研究人員沒有使用這個唯一的代碼,而是輸入了另外 6 個數字,結果只收到一條錯誤訊息,提示他重新檢查安全代碼並嘗試再次登入。
這就是這個故事可能讓 Facebook 母公司付出高昂代價的地方。在沒有對連線嘗試進行限制的情況下,Mänôz 能夠透過暴力破解他的驗證碼,也就是說,嘗試盡可能多的六位數組合來驗證雙重身分驗證。
在最壞的情況下,此類攻擊可能會停用受害者 Facebook 帳戶上的 2FA,並繞過安全系統,防止同一電子郵件地址與兩個不同帳戶關聯。
動作、反應
去年 9 月 Meta 報道,該漏洞已修復一個月後,Mänôz 獲得了技術團隊的認可,獲得了 27,200 美元的獎金。引自 TechCrunchMeta 發言人 Gabby Curtis 證實,該錯誤尚未被利用,用於連接帳戶區域的新系統當時正處於測試階段,受眾非常有限。
如果 Meta 沒有將使用者的安全放在首位,這樣的缺陷幾乎不會被注意到。2021 年,配合總統選舉,該公司在法國部署了 Facebook Protect。這項增強的安全計畫使那些最容易受到網路攻擊的人能夠鞏固其帳戶的保護。同時,2FA 逐漸成為這些網路使用者的強制性要求,無論他們是政府官員、記者、活動人士、政治人物甚至人權捍衛者。
