4006-555-883

Instagram确认安全问题暴露用户帐户和电话号码

发布时间:2019-09-16 10:45:00

  Instagram的母公司Facebook证实,一个新发现的安全漏洞可能使数据处于危险之中,让用户容易受到威胁行为体的攻击。该漏洞会让攻击者访问帐户详细信息和电话号码,这一漏洞非常严重,以至于在我与Facebook联系以提高安全研究员披露的个人资料后,他们要求在我发布之前有更多时间进行更改。Facebook现在已经对Instagram做了这些修改,以保护其用户。

  把本文放在一起,我让安全研究员在平台上运行测试,他成功地检索了“安全”的用户数据,我知道这些数据是真实的。这些数据包括用户的真实姓名、Instagram账号和手柄以及完整的电话号码。攻击者只需链接这些数据即可锁定这些用户。它还将使自动化脚本和机器人程序能够建立可搜索的用户数据库,将高知名度或高度易受攻击的用户与其联系方式联系起来。




  就在一周前,facebook因其数据安全方面的弱点而登上头条。发现了一个在线数据库,列出了4.19亿用户的电话和账号。facebook为此次泄密进行了辩护,声称这些数据是在剑桥分析公司(cambridge analytica)关闭搜索工具之前汇编的。该平台还强调,发现这些数据的服务器不属于Facebook,实质上是使用一个现已失效的工具,第三方泄露了Facebook的“旧”数据。

  上周,@zhacker13告诉我:“我在instagram上发现了一个高漏洞,可能导致严重的数据泄露。”“该漏洞仍处于活动状态,Facebook似乎不太重视对其进行路径设置。”利用此漏洞,攻击者将能够使用大量机器人和处理器构建可搜索/可攻击的用户数据库,从而绕过保护该数据的保护。

  正是平台的联系人导入程序,连同对其登录表单的暴力攻击一起使用,打开了该漏洞。Facebook发言人现在向我证实,“我们已经更改了Instagram上的联系人进口商,以帮助防止潜在的滥用。我们感谢提出这一问题的研究人员,感谢整个研究界的努力。”

  @Zhacker13在8月初向Facebook通报了该漏洞,并被告知“显示给定电子邮件地址或手机号码与Instagram帐户绑定的枚举漏洞”被视为“风险极低”,但“允许确定电子邮件地址或移动电话号码链接到哪个特定用户ID的攻击者将以不同的方式查看。

  一个月后,在确认了该漏洞后,Facebook回应称,“看来(Facebook安全)团队已经意识到了这一问题,因为内部发现,并且正在执行更严格的费率限制。”

  在最近的一次交流中,Facebook向@Zhacker13确认“这是一个有效的问题,团队目前正在调查这个问题并对其进行长期修复。”@Zhacker13对我表示严重的失望,尽管几个星期前接受了这个问题,但Facebook的T部分似乎没有紧迫性。哦,赶紧修理。谢天谢地,情况已经改变了。

  facebook还告诉@zhacker13,尽管漏洞很严重,但内部已经意识到了这个问题,因此它没有资格获得赏金计划下的奖励。这将开创一个可怕的先例,并阻止研究人员提出类似的弱点。我对Facebook的决定提出质疑,该公司重新考虑,并告诉我,它已经“重新评估”了该漏洞的发现,并将奖励该研究人员。

  没有证据表明有任何用户数据使用此漏洞被利用或滥用,但是,同样没有证据表明它没有被利用。希望利用此漏洞需要两个独立的进程,这意味着门已经被及时锁上。

  此漏洞确实指出了比单独使用此漏洞更大的风险,特别是考虑到此漏洞正在修补。有了电话号码和帐号,攻击者就可以访问更多信息。有了这些信息的数据库,就可以进行反向搜索,返回目标账户的电话号码。而且,正如我们看到越来越多的人使用电话号码来保护应用程序和服务,风险是显而易见的。

  (内容翻译于forbes)

最新发布
1
“羊了个羊”火遍全网,警方发布紧急提醒……
2
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
3
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
4
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
5
5年损失超430亿美元!你的电子邮件系统还安全吗?
6
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
7
4亿多条用户信息被盗,企业网站信息安全如何防护?
8
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
9
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
10
国家新安全技术标准发布!公有云个人信息保护成关注焦点
相关推荐
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
“羊了个羊”火遍全网,警方发布紧急提醒……
4·15国家安全教育日 | 网络安全,你我共建
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早