https://lalio.dpdns.org/tags/account-takeover/Recent content in Account-Takeover on 凱凱的技術筆記Hugozh-TWWed, 03 Jun 2026 06:26:42 +0000https://lalio.dpdns.org/posts/meta-account-takeover-fiasco/Wed, 03 Jun 2026 06:26:42 +0000https://lalio.dpdns.org/posts/meta-account-takeover-fiasco/<p>前幾天，一堆 Instagram 帳號——包括像白宮帳號這種高知名度的——好像都被黑了。</p> <p>我雖說不是什麼小年輕了，但在獨角獸級公司找漏洞跟開發也快十五年，但這絕對是我見過最無厘頭、「蠢到不太可能成真」的一個。</p> <h2 id="劫持流程簡單到令人髮指">劫持流程：簡單到令人髮指</h2> <h3 id="step-01偽造位置--啟動客服">Step 01：偽造位置 + 啟動客服</h3> <p>攻擊者只需要你的帳號名稱就能開工。接著連上一個靠近你城市位置的 VPN 或 proxy，讓 Instagram 的安全演算法不會起疑（這個資訊從你的公開個人頁面、About 區塊，或一百種其他方式就能拿到）。一旦看起來請求來自正確的地區，攻擊者就會告訴 Meta 支援 AI 帳號被黑了，要求把驗證碼發到他們控制的任意 Email。</p> <h3 id="step-02就結束了">Step 02：就結束了</h3> <p>真的，就結束了。這是我在生產環境中看過的第一個真正的「零驗證密碼重置」。系統似乎不會檢查你提供的 Email 是不是使用者以前用過的。一旦 AI 把驗證碼發到攻擊者的信箱，攻擊者再把碼填回去完成驗證，平台就乖乖送上一條新密碼重置連結，帳號歸屬權直接移交。</p> <p>Instagram 的 AI 可能會問攻擊者要一段自拍影片來證明身分。目前的 AI 辨識力還不太夠，所以簡單到拿目標個人動態裡一張已經公開的 AI 動畫照片就能搞定。</p> <h2 id="雙重驗證2fa也沒用">雙重驗證（2FA）也沒用</h2> <p>如果你在想，因為這個高權限恢復流程被系統視為「真正的擁有者」進行的完整帳號重置，原本的雙重驗證會在過程中被徹底繞過。</p> <p>既有的工作階段會被撤銷，密碼被更改，而且不會有任何 Email、簡訊或推播通知。真正的擁有者無法再發起恢復，因為 Email 和電話號碼現在都對應到攻擊者。沒有客服人員可以升級處理，就只有你跟一個聊天機器人奮戰，希望能奪回控制權，同時祈禱對方不要再來一次。</p> <p>如果你屬於 A/B 測試中 AI 支援選項啟用的帳號，更慘——你甚至關不掉它。</p> <h2 id="黑市熱鬧滾滾">黑市熱鬧滾滾</h2> <p>多個黑市的 Telegram 群組紛紛推出「帳號劫持」服務，價格高昂但交付速度極快。考慮到短帳號可以價值數十萬到數百萬美元，這也就不令人意外了。</p> <p>帳號已經被轉賣（例如 <code>hey</code>），被用於宣傳（例如 <code>obamawhitehouse</code> 或美國太空軍上士長的帳號 <code>ocmssf</code>）。</p> <h2 id="已經修好了">已經修好了</h2> <p>所有 Telegram 群組都安靜下來了，因為 Meta 似乎已經修復了這個問題。但這個方法似乎已經活躍了好幾週，甚至好幾個月。</p> <p>一個市值 1.5 兆美元的公司竟然連基本的安全防護都沒有，他們的支援 AI 只要你開口，就會隨意更換任何人的綁定 Email——這事實本身既恐怖又搞笑。</p> <hr> <p><em>原文：<a href="https://www.0xsid.com/blog/meta-account-takeover-fiasco">The Newest Instagram &ldquo;Exploit&rdquo; is the Goofiest I&rsquo;ve Seen</a> by <a href="https://www.0xsid.com">Sid&rsquo;s Blog</a> | 2026-06-01</em></p>