近日，一名来自尼泊尔的安全研究员Gtm Mänôz，披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后，其将一笔27200美元的赏金收入了囊中。

双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。它是一种需要提供两个身份验证因素以确认身份的身份验证过程，用户需要用两种方式（用户所知道的和用户所拥有的，例如密码和手机收到的验证码）证明自己的身份才能获得账户访问授权。

据悉，该漏洞存在于Facebook母公司Meta用于确认手机号码和电子邮件地址的组件中。Gtm Mänôz注意到，该组件未对验证码做时间和失败次数校验，这使得攻击者在获知受害者的手机号码后，能够暴力破解验证码。

而一旦攻击者成功试出正确的验证码，受害者的电话号码就会与攻击者使用的账户绑定，同时受害者账户的双因素身份验证也会被停用。攻击者在此之后就能够通过钓鱼等方式取得受害者密码，接过受害者账户控制权限。

黑客攻击成功后，用户会收到Facebook官方发送的一封电子邮件，通知其电话号码在Facebook上被其他人注册及验证。

根据Gtm Mänôz博客时间线，其于2022年9月14日向Meta报告了这个漏洞，IT巨头Facebook则于2022年10月17日完成了修复，其表示并未发现此漏洞有被滥用的迹象。Meta为Gtm Mänôz的漏洞发现及报告奖励了27200美元。

博客链接：https://medium.com/pentesternepal/two-factor-authentication-bypass-on-facebook-3f4ac3ea139c

编辑：左右里