4006-555-883

Instagram确认安全问题暴露用户帐户和电话号码

发布时间:2019-09-16 10:45:00

  Instagram的母公司Facebook证实,一个新发现的安全漏洞可能使数据处于危险之中,让用户容易受到威胁行为体的攻击。该漏洞会让攻击者访问帐户详细信息和电话号码,这一漏洞非常严重,以至于在我与Facebook联系以提高安全研究员披露的个人资料后,他们要求在我发布之前有更多时间进行更改。Facebook现在已经对Instagram做了这些修改,以保护其用户。

  把本文放在一起,我让安全研究员在平台上运行测试,他成功地检索了“安全”的用户数据,我知道这些数据是真实的。这些数据包括用户的真实姓名、Instagram账号和手柄以及完整的电话号码。攻击者只需链接这些数据即可锁定这些用户。它还将使自动化脚本和机器人程序能够建立可搜索的用户数据库,将高知名度或高度易受攻击的用户与其联系方式联系起来。




  就在一周前,facebook因其数据安全方面的弱点而登上头条。发现了一个在线数据库,列出了4.19亿用户的电话和账号。facebook为此次泄密进行了辩护,声称这些数据是在剑桥分析公司(cambridge analytica)关闭搜索工具之前汇编的。该平台还强调,发现这些数据的服务器不属于Facebook,实质上是使用一个现已失效的工具,第三方泄露了Facebook的“旧”数据。

  上周,@zhacker13告诉我:“我在instagram上发现了一个高漏洞,可能导致严重的数据泄露。”“该漏洞仍处于活动状态,Facebook似乎不太重视对其进行路径设置。”利用此漏洞,攻击者将能够使用大量机器人和处理器构建可搜索/可攻击的用户数据库,从而绕过保护该数据的保护。

  正是平台的联系人导入程序,连同对其登录表单的暴力攻击一起使用,打开了该漏洞。Facebook发言人现在向我证实,“我们已经更改了Instagram上的联系人进口商,以帮助防止潜在的滥用。我们感谢提出这一问题的研究人员,感谢整个研究界的努力。”

  @Zhacker13在8月初向Facebook通报了该漏洞,并被告知“显示给定电子邮件地址或手机号码与Instagram帐户绑定的枚举漏洞”被视为“风险极低”,但“允许确定电子邮件地址或移动电话号码链接到哪个特定用户ID的攻击者将以不同的方式查看。

  一个月后,在确认了该漏洞后,Facebook回应称,“看来(Facebook安全)团队已经意识到了这一问题,因为内部发现,并且正在执行更严格的费率限制。”

  在最近的一次交流中,Facebook向@Zhacker13确认“这是一个有效的问题,团队目前正在调查这个问题并对其进行长期修复。”@Zhacker13对我表示严重的失望,尽管几个星期前接受了这个问题,但Facebook的T部分似乎没有紧迫性。哦,赶紧修理。谢天谢地,情况已经改变了。

  facebook还告诉@zhacker13,尽管漏洞很严重,但内部已经意识到了这个问题,因此它没有资格获得赏金计划下的奖励。这将开创一个可怕的先例,并阻止研究人员提出类似的弱点。我对Facebook的决定提出质疑,该公司重新考虑,并告诉我,它已经“重新评估”了该漏洞的发现,并将奖励该研究人员。

  没有证据表明有任何用户数据使用此漏洞被利用或滥用,但是,同样没有证据表明它没有被利用。希望利用此漏洞需要两个独立的进程,这意味着门已经被及时锁上。

  此漏洞确实指出了比单独使用此漏洞更大的风险,特别是考虑到此漏洞正在修补。有了电话号码和帐号,攻击者就可以访问更多信息。有了这些信息的数据库,就可以进行反向搜索,返回目标账户的电话号码。而且,正如我们看到越来越多的人使用电话号码来保护应用程序和服务,风险是显而易见的。

  (内容翻译于forbes)

最新发布
1
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
2
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
3
政府机构频遭黑客攻击,国密改造亟需加快推进
4
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
5
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
6
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
7
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
8
警惕!银行系统漏洞频发,国密改造亟需加快推进
9
4·15国家安全教育日 | 网络安全,你我共建
10
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
相关推荐
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
十部委联合发文鼓励 国密算法证书迎来高速发展
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
警惕!银行系统漏洞频发,国密改造亟需加快推进
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?