繼去年被發現將用戶在雙因素驗證頁面(2fA)輸入的電話號碼,提供給外部廣告主之後,又有研究人員揭發臉書用戶在2fA機制輸入的電話,其實可被第三者搜尋到,而且這項功能無法關閉
2019-03-05
中東、北非人權人士也遭駭客網釣信件鎖定,連雙因素驗證機制也被突破
駭客用兩種方法繞過驗證,第一種是偷App密碼。某些信箱服務提供app密碼,可讓不支援雙因素驗證的第三方app登入。掌握密碼就能直接存取信箱。第二種方法是「帳號移轉」(account migration)手法,透過偽造的Gmail完全複製用戶帳戶的信件內容及聯絡人。
2018-12-28
伊朗駭客假冒Gmail和Yahoo Mail遭駭通知信來發送釣魚郵件,專門鎖定記者、社運人士和官員
釣魚信件會將受害者導向假的Gmail或Yahoo Mail網頁,要求用戶驗證帳號、密碼以便登入下載檔案。為此駭客還以Google Site架了一個以假亂真的Google Drive網頁以搏取受害者信任
2018-12-14
研究:美國前34大網站中,只有8個提供完整的雙因素身分認證機制
密碼管理業者Dashlane針對美國前34大品牌業者的網站進行雙因素驗證評比,以驗證機制的強弱評分,34家業者中僅有Google、美國銀行、臉書、Dropbox等8家業者獲得5顆星,Apple、Amazon、IG僅獲2顆星。
2018-10-31
研究人員發表報告指出,臉書用於精準廣告的身份辨識資料來源,其中包括使用者為雙因素驗證所提供的電話號碼,即便用戶本人未提供,只要用戶的親友同意分享聯絡人資訊給臉書,也會被用於影子資料,成為精準廣告投放的依據。
2018-09-28
Instagram原本在雙因素驗證中使用簡訊驗證使用者的身份,未來將會新增第三方認證程式,藉由第三方程式提供的驗證碼充當第二層身份驗證。
2018-08-29
駭客在6月間入侵了Reddit內部員工登入該站的與原始碼代管服務商的憑證,攔載了員工的簡訊,破解雙因素的身份驗證保護機制,存取了該站在2007年的資料庫備份。
2018-08-02
未來用戶登入臉書,不再強制要求用戶的電話號碼進行雙因素驗證,用戶可以第三方的驗證程式,如Google Authenticator與Duo Security完成雙因素驗證。
2018-05-24
有臉書用戶反映申請了雙因素驗證後,臉書趁此機會大量發送訊息到他的手機,不少用戶在網路上反映有類似的困擾,外界認為可能和臉書急欲挽回用戶的心有關。
2018-02-15
一名研究人員發現Uber的雙因素驗證機制上出現漏洞,可讓有心人士取得用戶帳號密碼,繞過雙因素驗證就能登入,導致Uber用戶身份被盜用的風險,先前Uber以不太嚴重回應該名研究人員,但在周一悄悄修補漏洞。
2018-01-23
全新雙因素驗證系統Pixie亮相,用手錶或手環就能確認你的身份
Pixie為適用於內建攝影機裝置的雙因素驗證系統,使用者可先利用裝置上的攝影機拍下約定的信物,作為身份驗證的依據,這些信物可以個人隨身物品,例如手飾、鑰匙圈、手錶或是鞋子。
2017-10-30