这是一个可能造成伤害的错误。 Meta 去年夏天部署的新帐户空间连接系统中存在一个严重缺陷,该缺陷可能允许经验丰富的黑客绕过 Facebook 上的双重身份验证 (A2F)。
计算机安全研究员 Gtm Mänôz 透露,有关该漏洞的发现和利用的详细信息引发了对连接尝试缺乏限制的质疑。在 Medium 上发表的一篇文章中,他解释说,他设法将可能受害者的电话号码链接到他自己的元帐户空间。
具体来说,Mänôz 输入了他应该收到六位数验证码的电话号码。但研究人员没有使用这个唯一的代码,而是输入了另外 6 个数字,结果只收到一条错误消息,提示他重新检查安全代码并尝试再次登录。
这就是这个故事可能让 Facebook 母公司付出高昂代价的地方。在没有对连接尝试进行限制的情况下,Mänôz 能够通过暴力破解他的验证码,也就是说,尝试尽可能多的六位数字组合来验证双重身份验证。
在最坏的情况下,此类攻击可能会停用受害者 Facebook 帐户上的 2FA,并绕过安全系统,防止同一电子邮件地址与两个不同帐户关联。
动作、反应
去年 9 月 Meta 报道,该漏洞已修复一个月后,Mänôz 获得了技术团队的认可,获得了 27,200 美元的奖金。引自 TechCrunchMeta 发言人加比·柯蒂斯 (Gabby Curtis) 证实,该错误尚未被利用,用于连接帐户区域的新系统当时正处于测试阶段,受众非常有限。
如果 Meta 没有将用户的安全放在首位,这样的缺陷几乎不会被注意到。2021 年,配合总统选举,该公司在法国部署了 Facebook Protect。这一增强的安全计划使那些最容易受到网络攻击的人能够巩固其帐户的保护。与此同时,2FA 逐渐成为这些互联网用户的强制性要求,无论他们是政府官员、记者、活动人士、政治人物甚至人权捍卫者。
