Facebook双因素认证绕过漏洞已修复

Emma Woollacott
2023年1月27日 11:50 UTC
更新：2023年2月17日 14:20 UTC

漏洞类型：认证绕过
相关领域：漏洞赏金、双因素认证

Meta已修复Facebook中的一个漏洞，该漏洞可能允许攻击者绕过基于短信的双因素认证（2FA）。
此漏洞的发现者获得了27,200美元的赏金，该漏洞通过Instagram的Meta账户中心确认目标用户已验证的Facebook手机号码来实现绕过。

该漏洞利用了Instagram中的速率限制问题，使攻击者能够暴力破解验证某人电话号码所需的验证码。
Meta允许用户将其电子邮件和电话号码添加到其Instagram和关联的Facebook账户中，并通过电子邮件或短信发送的六位数代码进行验证。

然而，攻击者可以输入任意六位数字，并使用诸如Burp Suite之类的Web代理拦截请求。
加德满都的安全研究员Manoj Gautam在博客文章中写道：“然后将上述请求发送到入侵者，并在pin_code值中插入$$占位符，以暴力破解确认代码。”
“由于此/api/v1/bloks/apps/com.bloks.www.fx.settings.contact_point.verify.async/端点完全没有速率限制保护，任何人都可以绕过联系点验证。”

Gautam表示，验证代码的端点也缺乏速率限制保护。
“由于在验证任何联系点（电子邮件或电话）时完全没有速率限制保护，攻击者只需知道电话号码，就可以将受害者启用2FA的电话号码添加到其Instagram关联的Facebook账户中，”Gautam告诉The Daily Swig。
“一旦攻击者将受害者启用2FA的电话号码添加到其Instagram关联的Facebook账户，2FA将从受害者账户中关闭或禁用。”

漏洞修复

Gautam于9月14日首次向Meta报告了此问题，Meta于10月17日修复了该漏洞。
该公司宣布这是2022年发现的最有影响力的漏洞之一，并最终奖励了27,200美元的赏金。

“最初我对他们的赏金决定不满意，因为只有3000美元。后来，他们回复说将根据新的2FA绕过赏金支付指南发放额外赏金，以反映最大潜在影响以及我最初报告的漏洞价值，”他说。
“最终，在报告提交92天后，我根据新的2FA绕过支付指南获得了额外赏金。总的来说，等待90多天是值得的，我收到了Facebook的最高赏金奖励。”