Instagram示意圖,Photo by NeONBRAND on https://unsplash.com/photos/nZJBt4gQlKI

臉書的Instagram(IG)再發現漏洞。研究人員近日在IG上發現一項漏洞,可讓攻擊者透過暴力破解及IG的同步工具,找到用戶名稱、電話號碼、真實姓名等個資,甚至還能以自動化工具蒐集成名單。在接獲通報後,臉書已經將之修補。

這項漏洞是由推特代號為ZHacker13的以色列駭客發現,並由財星雜誌(Forbes)報導

攻擊主要分成兩步驟。首先,攻擊者可以簡單的演算法在登入表單中發動暴力破解,輸入隨機電話號碼,藉回傳結果查詢到有效的IG帳號。由於攻擊者可以同時使用無上限的演算法,研究人員估計以其設備,每輸入1.5萬筆電話號碼,平均可回傳1,000個有效帳號。接著,攻擊者可利用IG的同步聯絡人功能,連結電話號碼和IG用戶名稱和帳號。攻擊者以網頁機器人建立新帳號後,IG會問這個機器人帳號是否要同步其聯絡人。之後同步功能便回傳大量帳號及用戶名稱,只要帳號內有符合的電話號碼,就會和攻擊者手上的電話號碼連結起來,進而顯示更多帳號細節。

雖然IG已預建機制,一個網頁機器人每天只能查詢3個用戶,但是它並未限制使用的網頁機器人數量。ZHacker13一台機器就可同時跑40個以上的機器人。在其一次測試中,他從1,000筆可能的電話號碼中,查詢到連結有完整電話號碼的有效帳號,研究人員表示以合理資源,他可以建立數百萬筆IG帳號的資料庫。他說在資源無限情況下,理論上可以抓完所有IG用戶帳號個資。

臉書已對媒體證實有這項漏洞,不過獲得通知後,臉書也很快就修補了該漏洞。

這是IG最新被揭露的資料安全漏洞。7 月一名獨立研究人員破解Instagram(IG)社交網站的密碼復原程序,藉此取得任何IG用戶的登入憑證,最後得到了臉書頒發的3萬美元抓漏獎金。媒體Buzzfeed上周也發現IG有一個漏洞,可讓用戶張貼在不公開帳號及限時動態中的照片和影片,在瀏覽器環境下讓他人存取、下載及轉傳。

上個月另一個通訊軟體Telegram也被發現類似問題。透過Telegram的「搜尋聯絡人」功能輸入一大批手機電話號碼,這些人就會被加入到Telegram聯絡人名單,且伴隨顯示其真實手機號碼,不論這些人是否設定其他人可看到其帳號。但Telegram指這是一項功能設計,不是漏洞,因此也沒有所謂的修補行動。


Advertisement

更多 iThome相關內容