按照外媒报道，近期有一名黑客果然暗示，他可以操作付费电话直接从Instagram(2000美金)，Google(0美金)和Microsoft(500美金)公司偷取金钱。

这些公司都有一个共性，他们都供给了一种电话语音验证处事，用户可以操作这项处事并通过计算机电话语音来获取验证码和登录令牌。

但是，这些公司在这一步操纵中往往会忽略很重要的一点，即确认用户供给的这个电话号码是否是合法的，或者至少要去确认这个号码是否是付费电话。

这个缝隙也就意味着，打击者可以从这些公司中窃取大量金钱。

在上述的三家互联网公司中，Microsoft受这个问题影响的水平最为严重，因为打击者几乎可以让Microsoft的语音电话验证无限制地在同一时间段内不停拨打同一个付费电话。目前，相关缝隙已经被呈报给了各个公司，并已经得到了妥善解决。按照缝隙奖励打算，缝隙的发明者也得到了相应的奖励。

Instagram:

Instagram允许用户将本身的手机号码与Instagram账号进行绑定，这样一来，其他的用户就可以通过Instagram的内置通讯录来搜索到本身的通讯录好友。

在输入了电话号码之后，Instagram会向用户所输入的手机号发送一个长度为六位数的短信验证码。

但是，如果在三分钟之内，用户没有不才面这个界面中输入相应的验证码，Instagram将会给用户拨打语音电话(号码归属地为美国加利福尼亚州)：

这通电话时长约莫为十七秒钟。通过Burp Suite中的Burp Repeater(中继器)，我们捕获到了网络请求数据，具体信息如下图所示：

由于系统对发送至处事器的请求进行了限制，所以发送至地点https://i.instagram.com/api/v1/accounts/robocall_user/的请求只能每隔30秒钟才华重放一次。

但是我们还可以注意到，Instagram并不会对用户供给的手机号码进行验证，系统会给用户供给的任何手机号码拨打语音验证电话。

例如，我们可以在eurocall24.com上注册一个英国的收费电话，每分钟收费价格为0.06英镑。将这个号码提交给Instagram之后，系统会直接拨打这个电话。

为了证实这一不雅概念，我们在Burp Intruder的辅佐下，让Instagram的语音验证系统自动拨号了六十余次，每次间隔为30秒钟。

在十七分钟的尝试过程中，我们象征性地窃取了一英镑：

因此我们可以这样估算，一名打击者每三十分钟就可以告成窃取1英镑，即每天窃取48英镑。

这也就意味着，换算过来就是每个月1440英镑，或者每年17280英镑。

而这一数字仅仅是一个Instagram账号所对应的一个付费号码。但是，打击者可以等闲地创建一百个这样的帐号，并打点这些绑定了付费号码的Instagram帐号。

这样计算下来，打击者每天都可以窃取4800英镑，即每个月窃取144000英镑，或者每年窃取728000英镑。

除此之外我们还发明， 打击者只需要使用一个付费号码和一百个Instagram帐号，就实现上述的这种打击。虽然每个帐号同一时间内，Instagram的处事器只允许其每三十秒发送一次请求。但是付费号码在这一段时间内，却可以测验考试与差此外Instagram帐号进行绑定。

Facebook的修复计谋

Facebook在了解到了这个问题之后，初度给出的回应如下：

这是我们在产品中专门添加的成果。我们并不认为这是一个安适缝隙，但是正如安适研究专家所建议的那样，我们确实应该对其进行控制，并检测用户供给的绑定手机号，以防备这一成果被犯法分子所操作。

难道他们已经默认允许我们通过这样的方法从Instagram偷钱吗？

在颠末了一系列探讨之后，Facebook在其官方声明中写到：