4006-555-883

Instagram确认安全问题暴露用户帐户和电话号码

发布时间:2019-09-16 10:45:00

  Instagram的母公司Facebook证实,一个新发现的安全漏洞可能使数据处于危险之中,让用户容易受到威胁行为体的攻击。该漏洞会让攻击者访问帐户详细信息和电话号码,这一漏洞非常严重,以至于在我与Facebook联系以提高安全研究员披露的个人资料后,他们要求在我发布之前有更多时间进行更改。Facebook现在已经对Instagram做了这些修改,以保护其用户。

  把本文放在一起,我让安全研究员在平台上运行测试,他成功地检索了“安全”的用户数据,我知道这些数据是真实的。这些数据包括用户的真实姓名、Instagram账号和手柄以及完整的电话号码。攻击者只需链接这些数据即可锁定这些用户。它还将使自动化脚本和机器人程序能够建立可搜索的用户数据库,将高知名度或高度易受攻击的用户与其联系方式联系起来。




  就在一周前,facebook因其数据安全方面的弱点而登上头条。发现了一个在线数据库,列出了4.19亿用户的电话和账号。facebook为此次泄密进行了辩护,声称这些数据是在剑桥分析公司(cambridge analytica)关闭搜索工具之前汇编的。该平台还强调,发现这些数据的服务器不属于Facebook,实质上是使用一个现已失效的工具,第三方泄露了Facebook的“旧”数据。

  上周,@zhacker13告诉我:“我在instagram上发现了一个高漏洞,可能导致严重的数据泄露。”“该漏洞仍处于活动状态,Facebook似乎不太重视对其进行路径设置。”利用此漏洞,攻击者将能够使用大量机器人和处理器构建可搜索/可攻击的用户数据库,从而绕过保护该数据的保护。

  正是平台的联系人导入程序,连同对其登录表单的暴力攻击一起使用,打开了该漏洞。Facebook发言人现在向我证实,“我们已经更改了Instagram上的联系人进口商,以帮助防止潜在的滥用。我们感谢提出这一问题的研究人员,感谢整个研究界的努力。”

  @Zhacker13在8月初向Facebook通报了该漏洞,并被告知“显示给定电子邮件地址或手机号码与Instagram帐户绑定的枚举漏洞”被视为“风险极低”,但“允许确定电子邮件地址或移动电话号码链接到哪个特定用户ID的攻击者将以不同的方式查看。

  一个月后,在确认了该漏洞后,Facebook回应称,“看来(Facebook安全)团队已经意识到了这一问题,因为内部发现,并且正在执行更严格的费率限制。”

  在最近的一次交流中,Facebook向@Zhacker13确认“这是一个有效的问题,团队目前正在调查这个问题并对其进行长期修复。”@Zhacker13对我表示严重的失望,尽管几个星期前接受了这个问题,但Facebook的T部分似乎没有紧迫性。哦,赶紧修理。谢天谢地,情况已经改变了。

  facebook还告诉@zhacker13,尽管漏洞很严重,但内部已经意识到了这个问题,因此它没有资格获得赏金计划下的奖励。这将开创一个可怕的先例,并阻止研究人员提出类似的弱点。我对Facebook的决定提出质疑,该公司重新考虑,并告诉我,它已经“重新评估”了该漏洞的发现,并将奖励该研究人员。

  没有证据表明有任何用户数据使用此漏洞被利用或滥用,但是,同样没有证据表明它没有被利用。希望利用此漏洞需要两个独立的进程,这意味着门已经被及时锁上。

  此漏洞确实指出了比单独使用此漏洞更大的风险,特别是考虑到此漏洞正在修补。有了电话号码和帐号,攻击者就可以访问更多信息。有了这些信息的数据库,就可以进行反向搜索,返回目标账户的电话号码。而且,正如我们看到越来越多的人使用电话号码来保护应用程序和服务,风险是显而易见的。

  (内容翻译于forbes)

最新发布
1
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
2
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
3
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
4
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
5
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
6
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
7
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
8
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
9
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
10
关于印发《国家密码科学基金管理办法(试行)》的通知
相关推荐
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
关于印发《国家密码科学基金管理办法(试行)》的通知