黑客發現Meta保安漏洞 避開雙重驗證登入

網絡安全一向受各界人士關注。Meta特意為Facebook及Instagram用戶創建的新集中式登錄系統,近日被揭有保安漏洞,黑客僅需得悉用戶的電話號碼,便可關閉Meta帳戶的雙重認證保安程序。Meta其後回覆外媒TechCrunch查詢,稱接獲相關報告後已盡快修復相關漏洞,並表示直至目前為止,並未收到任何相關受害報告。

是次保安漏洞由尼泊爾安全研究員Gtm Manoz發現,他指Meta並沒有就用戶在使用新登錄系統時,輸入雙重驗證碼的次數作出限制。這表示黑客可攻擊Meta的中央帳戶中心,一旦黑客成功破解並輸入正確的雙重驗證代碼,受害者的電話號碼將被連接至黑客的Facebook或Instagram帳戶。可見受這次漏洞影響最大的,是僅以電話號碼就可以取消經手機短訊獲取認證碼的Meta用戶。基於這一點,黑客仍可藉網絡釣魚方式獲得受害者的Facebook或Instagram密碼。

Meta發言人Gabby Curtis接受TechCrunch查詢時指出,發現漏洞時,該新登錄系統仍處於小型公開測試階段。在接獲Gtm Manoz的相關漏洞報告時,已於當月完成修復工作。事後Meta調查發現,並無人利用該漏洞進行任何工作。