facebook被爆
Facebook被爆曾与第三方分享用户数据,Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证。来自尼泊尔的安全研究人员近日在 Meta 的 Facebook、Instagram 等应用的登录系统中发现新的漏洞,任何人都可以绕过 Facebook 的双因素身份验证。
Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证
研究员 Gtm Mänôz 向 TechCrunch 表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于 SMS 的双因素认证”。
Mänôz 表示这个漏洞存在于 Meta 集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta 没有设置尝试限制。
这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码,那么攻击者就可以展开后续的攻击行为。
Facebook 被爆存在安全漏洞,可暴力破解绕过双因素身份认证
IT之家了解到,攻击者即便成功攻击之后,Meta 也会向用户发出提醒,称账号已链接到他人账户中,因此禁用双因素身份认证。
Mänôz 去年向公司报告了该错误,Meta 公司目前已经修复这个漏洞。Meta 公司为了奖赏他的发现,最终向其支付了 27200 美元(当前约 18.4 万元人民币)。
据《纽约时报》援引脸书公司员工及其内部文件报道,脸书多年来允许各家技术公司访问的用户个人数据要比它此前承认的更多,一些公司甚至可读取脸书用户的私人消息。
该报称,文件显示,不顾隐私保护,脸书曾允许150多家公司访问其用户数据。这些公司包括互联网零售商、娱乐网站、汽车制造商和传媒机构,每月搜索了上亿人的数据。脸书与其他公司达成的此类数据共享协议最早可追溯到2015年,且直到2017年都还有效。
报道指出,脸书不仅曾允许微软公司旗下的“必应”搜索引擎(Bing)查看几乎所有用户的好友名字,还曾允许在线影片租赁商奈飞(Netflix)和流媒体音乐服务平台Spotify访问脸书用户的私人消息。
国际网购平台亚马逊被允许访问脸书用户好友的姓名和联络信息,雅虎则从2018年夏天起可以读取脸书用户好友发的帖子——虽然脸书曾宣称已停止这种类型的数据共享。
亚马逊、微软和雅虎等一些企业表示他们对脸书用户数据的使用是正当的,但拒绝讨论细节。
脸书公司2018年初曾处于美国政治丑闻的中心。据美国《纽约时报》2018年3月报道,美国总统竞选期间,与特朗普合作的英国数据公司“剑桥分析”(Cambridge Analytica)曾非法获取5000万脸书用户的信息,针对选民的政治偏好向其投放广告。
脸书承认在与剑桥分析等公司合作期间向后者泄露了用户的个人信息。2018年5月底,脸书创始人扎克伯格向欧洲议员承诺,类似剑桥分析公司数据滥用情况将不会再发生,应用程序开发人员将被限制访问用户数据。
About The Author
