Instagram确认安全问题暴露用户帐户和电话号码

发布时间:2019-09-16 10:45:00

  Instagram的母公司Facebook证实,一个新发现的安全漏洞可能使数据处于危险之中,让用户容易受到威胁行为体的攻击。该漏洞会让攻击者访问帐户详细信息和电话号码,这一漏洞非常严重,以至于在我与Facebook联系以提高安全研究员披露的个人资料后,他们要求在我发布之前有更多时间进行更改。Facebook现在已经对Instagram做了这些修改,以保护其用户。

  把本文放在一起,我让安全研究员在平台上运行测试,他成功地检索了“安全”的用户数据,我知道这些数据是真实的。这些数据包括用户的真实姓名、Instagram账号和手柄以及完整的电话号码。攻击者只需链接这些数据即可锁定这些用户。它还将使自动化脚本和机器人程序能够建立可搜索的用户数据库,将高知名度或高度易受攻击的用户与其联系方式联系起来。




  就在一周前,facebook因其数据安全方面的弱点而登上头条。发现了一个在线数据库,列出了4.19亿用户的电话和账号。facebook为此次泄密进行了辩护,声称这些数据是在剑桥分析公司(cambridge analytica)关闭搜索工具之前汇编的。该平台还强调,发现这些数据的服务器不属于Facebook,实质上是使用一个现已失效的工具,第三方泄露了Facebook的“旧”数据。

  上周,@zhacker13告诉我:“我在instagram上发现了一个高漏洞,可能导致严重的数据泄露。”“该漏洞仍处于活动状态,Facebook似乎不太重视对其进行路径设置。”利用此漏洞,攻击者将能够使用大量机器人和处理器构建可搜索/可攻击的用户数据库,从而绕过保护该数据的保护。

  正是平台的联系人导入程序,连同对其登录表单的暴力攻击一起使用,打开了该漏洞。Facebook发言人现在向我证实,“我们已经更改了Instagram上的联系人进口商,以帮助防止潜在的滥用。我们感谢提出这一问题的研究人员,感谢整个研究界的努力。”

  @Zhacker13在8月初向Facebook通报了该漏洞,并被告知“显示给定电子邮件地址或手机号码与Instagram帐户绑定的枚举漏洞”被视为“风险极低”,但“允许确定电子邮件地址或移动电话号码链接到哪个特定用户ID的攻击者将以不同的方式查看。

  一个月后,在确认了该漏洞后,Facebook回应称,“看来(Facebook安全)团队已经意识到了这一问题,因为内部发现,并且正在执行更严格的费率限制。”

  在最近的一次交流中,Facebook向@Zhacker13确认“这是一个有效的问题,团队目前正在调查这个问题并对其进行长期修复。”@Zhacker13对我表示严重的失望,尽管几个星期前接受了这个问题,但Facebook的T部分似乎没有紧迫性。哦,赶紧修理。谢天谢地,情况已经改变了。

  facebook还告诉@zhacker13,尽管漏洞很严重,但内部已经意识到了这个问题,因此它没有资格获得赏金计划下的奖励。这将开创一个可怕的先例,并阻止研究人员提出类似的弱点。我对Facebook的决定提出质疑,该公司重新考虑,并告诉我,它已经“重新评估”了该漏洞的发现,并将奖励该研究人员。

  没有证据表明有任何用户数据使用此漏洞被利用或滥用,但是,同样没有证据表明它没有被利用。希望利用此漏洞需要两个独立的进程,这意味着门已经被及时锁上。

  此漏洞确实指出了比单独使用此漏洞更大的风险,特别是考虑到此漏洞正在修补。有了电话号码和帐号,攻击者就可以访问更多信息。有了这些信息的数据库,就可以进行反向搜索,返回目标账户的电话号码。而且,正如我们看到越来越多的人使用电话号码来保护应用程序和服务,风险是显而易见的。

  (内容翻译于forbes)

最新发布
1
惊!91%的工业企业容易遭受网络攻击
2
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
3
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
4
《中华人民共和国个人信息保护法》审议通过
5
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
6
规范“人脸识别”,为盗刷者戴上“紧箍咒”
7
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
8
《网络安全审查办法(修订草案征求意见稿)》解读
9
划重点!《人民法院在线诉讼规则》正在施行中
10
企业数字化转型,数据安全是关键!
相关推荐
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
5.33亿Facebook用户的电话号码在黑客论坛被泄露
惊!91%的工业企业容易遭受网络攻击
网络钓鱼在2021年第一季度创新高
医疗保健网络钓鱼事件导致大规模数据泄露
“滴滴事件”敲响个人信息安全警钟
划重点!《人民法院在线诉讼规则》正在施行中
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
企业数字化转型,数据安全是关键!
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行