Skip to content

搞英语 → 看世界

翻译英文优质信息和名人推特

Menu
  • 首页
  • 作者列表
  • 独立博客
  • 专业媒体
  • 名人推特
  • 邮件列表
  • 关于本站
Menu

黑客发现允许任何人绕过 Facebook 2FA 的漏洞

Posted on 2023-01-31

Meta 为用户创建的用于管理 Facebook 和 Instagram 登录的新集中式系统中的一个错误可能允许恶意黑客通过知道他们的电子邮件地址或电话号码来关闭帐户的双因素保护。

来自尼泊尔的安全研究员 Gtm Mänôz 意识到,当用户在新的Meta 帐户中心输入用于登录其帐户的双因素代码时,Meta 并未设置尝试限制,这有助于用户链接其所有 Meta 帐户,例如 Facebook 和 Instagram。

利用受害者的电话号码或电子邮件地址,攻击者会前往中央账户中心,输入受害者的电话号码,将该号码链接到他们自己的 Facebook 账户,然后暴力破解双因素短信代码。这是关键的一步,因为人们可以尝试的次数没有上限。

一旦攻击者获得正确的代码,受害者的电话号码就会链接到攻击者的 Facebook 帐户。一次成功的攻击仍然会导致 Meta 向受害者发送一条消息,称他们的双因素已被禁用,因为他们的电话号码已链接到其他人的帐户。

“基本上,这里影响最大的是撤销任何人只知道电话号码的基于 SMS 的 2FA,”Mänôz 告诉 TechCrunch。

Meta 发送给用户的电子邮件截图,内容为:“我们想让您知道,您的电话号码已由 Facebook 上的另一个人注册和验证。”

Meta 发给帐户所有者的一封电子邮件,告诉他们他们的双因素保护已被关闭。图片来源: Gtm Mänôz(截图)

在这一点上,理论上,假设目标不再启用双重因素,攻击者可以尝试通过网络钓鱼获取密码来接管受害者的 Facebook 帐户。

Mänôz 去年在 Meta Accounts Center 中发现了这个漏洞,并于 9 月中旬向公司报告。一个月后,Meta 修复了该错误,并向 Mänôz 支付了 27,200 美元以报告该错误。

目前尚不清楚是否有恶意黑客在 Facebook 修复之前也发现了该漏洞并加以利用。 Meta 没有立即回应置评请求。

Facebook 对高风险账户强制执行双因素验证

黑客发现允许任何人绕过 Facebook 2FA 的漏洞,作者Lorenzo Franceschi-Bicchierai最初发表于TechCrunch

原文: https://techcrunch.com/2023/01/30/facebook-two-factor-bypass-bug/

本站文章系自动翻译,站长会周期检查,如果有不当内容,请点此留言,非常感谢。
  • Abhinav
  • Abigail Pain
  • Adam Fortuna
  • Alberto Gallego
  • Alex Wlchan
  • Alin Panaitiu
  • Anil Dash
  • Answer.AI
  • Arne Bahlo
  • Ben Carlson
  • Ben Kuhn
  • Bert Hubert
  • Big Technology
  • Bits about Money
  • Brandon Skerritt
  • Brent Simmons
  • Brian Krebs
  • ByteByteGo
  • Chip Huyen
  • Chips and Cheese
  • Christopher Butler
  • Colin Percival
  • Cool Infographics
  • Dan Sinker
  • David Walsh
  • Dmitry Dolzhenko
  • Dustin Curtis
  • eighty twenty
  • Elad Gil
  • Ellie Huxtable
  • Ethan Dalool
  • Ethan Marcotte
  • Exponential View
  • FAIL Blog
  • Founder Weekly
  • Geoffrey Huntley
  • Geoffrey Litt
  • Greg Mankiw
  • HeardThat Blog
  • Henrique Dias
  • Herman Martinus
  • Hypercritical
  • IEEE Spectrum
  • Investment Talk
  • Jaz
  • Jeff Geerling
  • Jonas Hietala
  • Josh Comeau
  • Lenny Rachitsky
  • Li Haoyi
  • Liz Danzico
  • Lou Plummer
  • Luke Wroblewski
  • Maggie Appleton
  • Matt Baer
  • Matt Stoller
  • Matthias Endler
  • Mert Bulan
  • Mind Matters
  • Mostly metrics
  • Naval Ravikant
  • News Letter
  • NextDraft
  • Non_Interactive
  • Not Boring
  • One Useful Thing
  • Phil Eaton
  • PostHog
  • Product Market Fit
  • Readwise
  • ReedyBear
  • Robert Heaton
  • Rohit Patel
  • Ruben Schade
  • Sage Economics
  • Sam Altman
  • Sam Rose
  • selfh.st
  • Shtetl-Optimized
  • Simon schreibt
  • Slashdot
  • Slava Akhmechet
  • Small Good Things
  • Steph Ango
  • Stephen Wolfram
  • Steve Blank
  • Taylor Troesh
  • Telegram Blog
  • The Macro Compass
  • The Pomp Letter
  • thesephist
  • Thinking Deep & Wide
  • Tim Kellogg
  • Understanding AI
  • Wes Kao
  • 英文媒体
  • 英文推特
  • 英文独立博客
©2026 搞英语 → 看世界 | Design: Newspaperly WordPress Theme