一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。
双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。它是一种需要提供两个身份验证因素以确认身份的身份验证过程,用户需要用两种方式(用户所知道的和用户所拥有的,例如密码和手机收到的验证码)证明自己的身份才能获得账户访问授权。
据悉,该漏洞存在于Facebook母公司Meta用于确认手机号码和电子邮件地址的组件中。Gtm Mänôz注意到,该组件未对验证码做时间和失败次数校验,这使得攻击者在获知受害者的手机号码后,能够暴力破解验证码。[阅读原文]