近期,Instagram的母公司Facebook证实,某个新发现的数据泄露漏洞可能危及用户数据安全,具体来说就是可让攻击者获得普通用户的帐户信息和电话号码。在Facebook得知这一漏洞之后,迅速部署了一些安全措施,以保护用户数据。
在撰写本文时,我和某个安全研究员联系,让他进行测试,结果成功找到了我所知道的真实的用户数据。这些数据包括用户的真实姓名、Instagram帐号信息以及电话号码。攻击者只要利用简单的脚本就可以抓取大量用户数据,构建社工数据库。
就在一周前,Facebook还因数据安全方面的丑闻登上了头条(一个拥有4.19亿用户的电话和帐号的数据库在公网上被发现)。Facebook对外解释道,这些数据是由剑桥分析公司很久以前收集的。Facebook强调,存储这些数据的服务器并不属于Facebook——本质上,这是第三方所收集的Facebook“旧”数据。
而此次数据泄露漏洞是由一个名为@ZHacker13以色列黑客发现的,攻击者利用这个漏洞可将电话、帐号、用户名、真实姓名相互关联起来。
Facebook已证实漏洞确实存在,同时也表示这个漏洞利用起来很复杂,但这并不能降低这个漏洞的威胁。
@ZHacker13上周告诉我:“我在Instagram上发现了一个高危漏洞,可能会导致严重的数据泄露。但Facebook似乎并没有认真对待。”
而Facebook的一位发言人也向我证实:“我们已经修复了Instagram上的联数据泄露漏洞。我们感谢发现这一漏洞的研究人员,也感谢整个安全研究社区的努力。”
那么,漏洞原理是啥?
首先,攻击者使用一种简单的算法暴力攻击Instagram的登录窗口,每次攻击均为测试一个电话号码是否与Instagram现有帐户相关联。这主要通过表单返回的yes或no来判定。经测试,每天大概可以收集超过1000个Instagram上的真实存在的电话号码。Instagram对这方面并没有进行安全限制。据@ZHacker13
的估计,平均15000个请求可找到1000个存在的电话号码。
然后,攻击者利用第二个脚本查找与确定存在的电话号码相关联的帐户名和帐户号码。这利用了Instagram的同步联系人功能。每当建立了一个新帐户,Instagram就会询问新用户是否想要同步他们的联系人。一般来说,此时会返回大量的帐户供选择,但是,如果此时在联系人列表指定一个号码,那么它将返回所链接帐户的详细信息。
Instagram中每个帐户每天的同步次数不能高于3次。这意味着我创建的每个帐户每天可以返回三个用户的详细信息。从理论上讲,只要攻击者创建的新帐户足够多,那么就可以得到所有Instagram用户的详细信息和电话号码。
我让@ZHacker13对两个目标进行了简单测试,给了他不完整的电话号码,涉及1000种可能的情况。在每种测试他都返回与完整电话号码相关联的有效帐户的详细信息。@ZHacker13表示,有了这些数据,我可以建立一个包含数百万Instagram用户记录的大型数据库。他已经就完成这个数据库所需的资源进行了估算。
我请ESET的Lukas Stefanko谈谈他对这个漏洞的看法,并提供了细节和PoC。他在了解后对此表示说:“由于‘同步联系人’功能实际上是根据号码返回帐户,所以理论上没问题。”
@ZHacker13在他的文章中解释道,他已经设法获得了143个Instagram随机帐户的详细信息。只有利用40个帐户,他每周可以抓取840个帐户的信息。并且他也展示了获得的随机Instagram用户的有效数据(电话号码、用户id、用户名、全名)。”
Stefanko也表示:“这确实是Instagram上的一个数据泄露漏洞。尽管Instagram限制了同步联系人功能的使用——24小时内最多三次——但这可以通过帐户数量来弥补。最终,所有Instagram的帐户数据都会对外泄露。”
@ZHacker13在8月初向Facebook上报了这个漏洞,结果被告知“其中暴力破解所牵涉的安全风险极低。至于是否会造成信息泄露,不同人的看法不同。”
而在一个月后,在更加深入的了解这一漏洞后,Facebook回应称,“Facebook安全团队已经意识到这一安全问题,他们正在实施更为严格的请求速率限制。”
在最近的交流中,Facebook向@ZHacker13确认,“这是一个有效漏洞——安全团队目前正仔细研究这个安全问题,并设计长期解决方案”。@ZHacker13表示,虽然Facebook前期似乎并没有急着解决这个问题,但现在他们总算重视起来了。
Facebook还告诉@ZHacker13,尽管漏洞很严重,但安全团队早已意识到了这个问题,所以并不会发放漏洞赏金。我对Facebook的这一决定提出了质疑,该公司表示会重新考虑了一下,最后应该会奖励研究人员。
没有证据表明有任何用户的数据受到该漏洞影响——当然,同样,也没有证据表明漏洞没有被利用。不过好在Faceboook已经认识到重要性,并已经处理。
我之前写过很多关于社交媒体平台积累的海量用户数据所造成的安全威胁,以及帐号、电话号码跨平台通用所带来的隐患。现在,这一漏洞再次加强了我的观点。
最后,@ZHacker13测试了Facebook所发布的安全补丁,证实漏洞已被修复。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.forbes.com/sites/zakdoffman/2019/09/12/new-instagram-hack-exclusive-facebook-confirms-user-accounts-and-phone-numbers-at-risk/amp/?__twitter_impression=true