Facebook双因素认证绕过漏洞已修复

Emma Woollacott
2023年1月27日 11:50 UTC
更新：2023年2月17日 14:20 UTC

漏洞类型：认证绕过
相关领域：漏洞赏金、身份验证

漏洞详情

Meta公司修复了Facebook中的一个安全漏洞，该漏洞可能允许攻击者绕过基于短信的双因素认证（2FA）。这个漏洞的发现者获得了27,200美元的赏金。

该漏洞通过Instagram中的Meta账户中心确认目标用户已经验证的Facebook手机号码来实现绕过。它利用了Instagram中的一个速率限制问题，使攻击者能够暴力破解确认电话号码所需的验证PIN码。

技术机制

Meta允许用户将其电子邮件和电话号码添加到他们的Instagram和链接的Facebook账户中，这些信息可以通过电子邮件或短信发送的六位数代码进行验证。

然而，攻击者可以输入任何随机的六位数字，并使用诸如Burp Suite之类的网络代理拦截请求。

发现该漏洞的加德满都安全研究员Manoj Gautam在博客文章中写道：“然后将上述请求发送到入侵者，并在pin_code值中插入$$占位符，以暴力破解确认代码。”

“由于这个/api/v1/bloks/apps/com.bloks.www.fx.settings.contact_point.verify.async/端点完全没有速率限制保护，任何人都可以绕过联系点验证。”

Gautam表示，验证代码的端点也缺乏速率限制保护：“由于在验证任何联系点（电子邮件或电话）时完全没有速率限制保护，攻击者只需知道电话号码就可以将受害者启用2FA的电话号码添加到他或她的Instagram链接的Facebook账户中。”

“一旦攻击者将受害者启用2FA的电话号码添加到其Instagram链接的Facebook账户，2FA将从受害者账户中关闭或禁用。”

漏洞修复过程

Gautam于9月14日首次向Meta报告了此问题，Meta于10月17日修复了该漏洞。该公司宣布这是2022年发现的最有影响力的漏洞之一，并最终 awarded了27,200美元的赏金。

“最初我对他们的赏金决定不满意，因为只有3000美元。后来他们回复说，将根据新的支付指南发放额外赏金，以反映最大潜在影响以及我最初报告的漏洞价值，“他说。

“最终，在报告提交92天后，我根据2FA绕过的新的支付指南获得了额外赏金。总的来说，等待90多天是值得的，我收到了来自Facebook的最高赏金奖励。”