安全研究員發現 Facebook、Instagram 雙重驗證漏洞

使用網路服務，應採取如雙重驗證等額外措施保護帳號安全，即使不肖份子試圖登入你的帳號，沒有通過第二道關卡的登入碼或透過行動裝置上的生物辨識，也無法掌控帳號。不過，Meta 曾在登入系統的雙重驗證上出現漏洞，在安全研究員回報後隨即修復。

國外媒體 TechCrunch 指出，用於管理 Facebook 和 Instagram 登入的全新帳號管理中心曾存在一項錯誤，一旦駭客知道用戶的電話號碼，就有可能強行關閉用戶帳號的雙重驗證（two-factor authentication），進而取得帳號的控制權。

Meta 的帳號管理中心能夠管理用戶在 Facebook、Instagram、Horizon 的帳號設定和互聯體驗。不過，來自尼泊爾的安全研究員 Gtm Mänôz 發現，帳號管理中心未對輸入雙重驗證的登入碼加以限制，可以不斷嘗試輸入。

駭客一旦有了受害人的電話號碼，可在帳號管理中心輸入該電話號碼，並連結到駭客使用的 Facebook 帳號，然後暴力破解雙重驗證的登入碼，此為這個漏洞的關鍵，因為登入碼輸入的次數沒有上限。

「基本上，影響最大的是取消發送登入碼的雙重驗證」，Gtm Mänôz 告訴 TechCrunch。一旦駭客試岀正確的登入碼，受害人的電話號碼就會連結駭客的 Facebook 帳號，系統同時會向受害人發信通知，稱他們的雙重驗證已被停用，因為電話號碼已被連結到他人帳號。接著駭客可以透過網路釣魚的方式取得受害人的密碼，進一步控制帳號權限。

Gtm Mänôz 去年在帳號管理中心發現這個漏洞，並在 9 月中旬回報 Meta，幾天後即修復漏洞，Meta 也提供他 27,200 美元做為回報獎金。

Meta 發言人 Gabby Curtis 向 TechCrunch 表示，發現漏洞時，新的登入系統仍處於小型公開測試階段，Meta 調查後未發現任何人濫用這個漏洞以從事不法行為。