该漏洞影响了 Facebook 的密码重置过程,特别是将六位数唯一授权代码发送到用户登录的不同设备的选项。此代码用于确认用户的身份,并用于完成密码重置过程。
对使用此密码重置选项时浏览器发送的请求的分析显示,唯一代码处于活动状态大约两个小时,并且没有暴力攻击保护。
攻击者只需要知道目标个人的用户名,他们就可以使用 Burp Suite 等渗透测试工具来暴力破解六位数代码,这将允许他们重置目标帐户的密码或直接登录它。
研究人员表示,他于 1 月 30 日向 Meta 报告了他的发现,该问题在 2 月 2 日之前得到了修补。