一名印度的安全專家、部落客 Anand Prakash ,他找到了一個方法,可以駭進任何人的臉書,取得他們的帳號控制權,以及臉書上的訊息、照片、內容以及儲存在上頭的信用卡資訊。
在臉書上,當使用者遺忘了自己的密碼的時候,臉書會要求他們輸入與這個臉書帳號相關連的Email地址、電話號碼或是名字,然後他們會傳送一個六個位元的Pin碼來給使用者,用來認證。而Anand Prakash 嘗試的,就是想要利用暴力破解法來破解這個Pin碼,讓他不需要取得Pin碼也能重設帳號,如此一來,理論上他就可以重設任何人的臉書帳號。
Prakash首先在Facebook.com上嘗試這個方式,不過Facebook.com會在使用者嘗試10~12次失敗之後鎖定不讓他嘗試下去。但是Prakash想到另外一個網址,一般人比較少知道的Facebook的Beta網址:beta.facebook.com,或是另一個沒有廣告的mbasic.beta.facebook.com。
他發現在這些網站上並沒有次數的限制,因此他就可以用機器人暴力攻擊來取得Pin碼,找到之後他就可以更改臉書帳號的密碼,並且獲得存取權限。下面就是他的示範影片。
從2011年起,Facebook就有推出「捉蟲賞金計畫」,獎勵向該公司報告安全性漏洞的安全研究員、駭客和其他人士。而Prakash在上個月向FB回報了這個漏洞,並且獲得FB的確認,發給他1.5萬美元的獎金。而FB已經在確認之後修復了這個漏洞,將旗下的Beta網站這些漏洞給補起來。
資料來源:fossbytes
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!