可暴力破解绕过双起因身份认证 Facebook被爆存在安保破绽

来自尼泊尔的安保钻研人员近日在 Meta 的 Facebook、Instagram 等运行的登录系统中发现新的破绽，任何人都可以绕过 Facebook 的双起因身份验证。

钻研员 Gtm Mänôz 向 TechCrunch 示意：“任何人都可以应用这个破绽，只需在知道对方电话号码的状况下，就能绕过基于 SMS 的双起因认证”。

Mänôz 示意这个破绽存在于 Meta 团体的一致登录系统中，用户在输入用于登录其帐户的双起因代码时，Meta 没有设置尝试限度。

这就象征着只须要了解攻打指标的电话号码或许电子邮件，那么攻打者就可以经过暴力破解的形式来输入双起因短信代码。一旦攻打者取得正确的验证码，那么攻打者就可以倒退后续的攻打行为。

据了解，攻打者即使成功攻打之后，Meta 也会向用户收回提示，称账号已链接到他人账户中，因此禁用双起因身份认证。

Mänôz 去年向公司报告了该失误，Meta 公司目前曾经修复这个破绽。Meta 公司为了奖赏他的发现，最终向其支付了 27200 美元（约 18.4 万元人民币）。

本网站的文章部分内容可能来源于网络和网友发布，仅供大家学习与参考，如有侵权，请联系站长进行删除处理，不代表本网站立场，转载联系作者并注明出处：https://duobeib.com/diannaowangluoweixiu/6464.html