利用第三方OTP号码接管Snapchat账户的安全漏洞分析
大家好,
我最近发现了一种可能通过第三方应用获取OTP(一次性密码)电话号码来接管Snapchat账户的方法。
具体操作流程:
第三方应用使用
存在一款提供各国数千个可接收OTP验证码的临时电话号码的第三方应用。
号码选择
这些号码由应用随机提供。
密码重置流程
- 从应用中获取一个号码
- 访问Snapchat的密码重置页面
账户验证
如果该号码关联了Snapchat账户,Snapchat会向该号码发送OTP验证码。
OTP获取
通过第三方应用接收OTP验证码后,即可重置该Snapchat账户密码。这种方法本质上允许访问任何关联了第三方应用所提供号码的Snapchat账户。
考虑到这些号码的易获取性以及对用户安全和隐私的潜在影响,我认为这可能是一个重大安全漏洞。
社区讨论问题
- 这是否构成Snapchat应该知晓的合法漏洞?
- 这类漏洞利用通常会被漏洞赏金程序认可并奖励,还是有可能被拒绝?
- 是否有人遇到过类似问题或之前报告过此类情况?结果如何?
我正在考虑提交此漏洞报告,但希望先了解社区意见,判断是否值得通过官方渠道跟进。
期待大家的意见和建议!
[社区回复摘要]
- 公开讨论特定公司的潜在漏洞不符合漏洞猎人的职业规范,可能导致被赏金计划封禁
- 这并非系统漏洞,而是用户使用公开临时号码注册账户的操作安全问题
- 类似报告可能被判定为重复提交
- 公开讨论发现可能导致丧失获得赏金的资格
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
浙公网安备 33010602011771号