脸书的Instagram(IG)再发现漏洞。研究人员近日在IG上发现一项漏洞,可让攻击者通过暴力破解及IG的同步工具,找到用户名称、电话号码、真实姓名等个人信息,甚至还能以自动化工具搜集成名单。在接获通报后,脸书已经将之修补。
这项漏洞是由推特代号为ZHacker13的以色列黑客发现,并由财富杂志(Forbes)报导。
攻击主要分成两步骤。首先,攻击者可以简单的算法在登录表单中发动暴力破解,输入随机电话号码,借回传结果查询到有效的IG帐号。由于攻击者可以同时使用无上限的算法,研究人员估计以其设备,每输入1.5万笔记本电脑话号码,平均可回传1,000个有效帐号。接着,攻击者可利用IG的同步联系人功能,连接电话号码和IG用户名称和帐号。攻击者以网页机器人创建新帐号后,IG会问这个机器人帐号是否要同步其联系人。之后同步功能便回传大量帐号及用户名称,只要帐号内有符合的电话号码,就会和攻击者手上的电话号码连接起来,进而显示更多帐号细节。
虽然IG已预建机制,一个网页机器人每天只能查询3个用户,但是它并未限制使用的网页机器人数量。ZHacker13一台机器就可同时跑40个以上的机器人。在其一次测试中,他从1,000笔可能的电话号码中,查询到连接有完整电话号码的有效帐号,研究人员表示以合理资源,他可以创建数百万笔IG帐号的数据库。他说在资源无限情况下,理论上可以抓完所有IG用户帐号个人信息。
脸书已对媒体证实有这项漏洞,不过获得通知后,脸书也很快就修补了该漏洞。
这是IG最新被披露的数据安全漏洞。7月一名独立研究人员破解Instagram(IG)社交网站的密码恢复程序,借此取得任何IG用户的登录凭证,最后得到了脸书颁发的3万美元漏洞挖掘奖金。媒体Buzzfeed上周也发现IG有一个漏洞,可让用户发布在不公开帐号及限时动态中的照片和视频,在浏览器环境下让他人访问、下载及转发。
上个月另一个通信软件Telegram也被发现类似问题。通过Telegram的“搜索联系人”功能输入一大批手机电话号码,这些人就会被加入到Telegram联系人名单,且伴随显示其真实手机号码,不论这些人是否设置其他人可看到其帐号。但Telegram指这是一项功能设计,不是漏洞,因此也没有所谓的修补行动。