北京
扎克伯格和姆巴佩,一個是Meta掌舵人,一個是足壇巨星,八竿子打不著的兩個人,最近卻在同一場安全事故中被綁到了一起。上周,有安全研究人員在X平臺爆料,Instagram再度出現嚴重安全漏洞,部分用戶在重置密碼時,本應被隱藏的手機號和郵箱地址,被完整暴露給了請求方。而中招的名單里,就有扎克伯格本人和法國前鋒姆巴佩。
問題出在一行代碼上。正常情況下,Instagram發重置密碼驗證信息時,會自動對聯系方式做模糊處理,比如把abcde@xyz.com顯示成a****@xyz.com。但這次,代碼里一個故障直接跳過了這個匿名化步驟,黑客拿到的是完整的真實電子郵件和電話號碼。
這不是Instagram第一次在密碼重置環節翻車。此前,攻擊者曾通過對AI客服進行“越獄”操作,繞過了賬戶恢復流程中的身份驗證,拿到了賬戶控制權。兩次事故指向同一個軟肋:找回密碼這條看似不起眼的鏈路,正在成為社交平臺安全體系里最薄弱的突破口。
HackRead等外媒在跟進報道時梳理了更多細節。爆料方International Cyber Digest指出,漏洞影響的用戶范圍目前還不明確,但既然連扎克伯格自己的信息都沒能逃過過濾系統,普通用戶的防護狀態可想而知。一個有意思的細節是,Meta至今沒有公開回應該漏洞的具體修復時間。
當平臺創始人的個人信息都能被自家的安全機制漏掉,問題的性質就不再是某個工程師疏忽那么簡單了。密碼重置流程涉及身份核驗、信息脫敏、通知分發等多個環節,任何一個節點的邏輯錯誤都可能讓整條防線失效。Instagram這次翻車,卡在了最基礎的那一環:讓不該顯示的東西,明晃晃地出現在屏幕上。
對于普通用戶來說,這次事件最直接的提醒是,別再把社交平臺綁定的手機號和郵箱當成不可見的信息。一旦找回密碼的機制出問題,這些聯系方式就成了攻擊者最直接的入口。一個超過10億用戶的平臺,在安全防護上留下的這處縫隙,恐怕比漏洞本身更值得追問。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
