安全專家找到了FB的密碼漏洞,只要幾步驟就可以更改他人的臉書帳號密碼

安全專家找到了FB的密碼漏洞,只要幾步驟就可以更改他人的臉書帳號密碼

 一名印度的安全專家、部落客 Anand Prakash ,他找到了一個方法,可以駭進任何人的臉書,取得他們的帳號控制權,以及臉書上的訊息、照片、內容以及儲存在上頭的信用卡資訊。

在臉書上,當使用者遺忘了自己的密碼的時候,臉書會要求他們輸入與這個臉書帳號相關連的Email地址、電話號碼或是名字,然後他們會傳送一個六個位元的Pin碼來給使用者,用來認證。而Anand Prakash 嘗試的,就是想要利用暴力破解法來破解這個Pin碼,讓他不需要取得Pin碼也能重設帳號,如此一來,理論上他就可以重設任何人的臉書帳號。

Prakash首先在Facebook.com上嘗試這個方式,不過Facebook.com會在使用者嘗試10~12次失敗之後鎖定不讓他嘗試下去。但是Prakash想到另外一個網址,一般人比較少知道的Facebook的Beta網址:beta.facebook.com,或是另一個沒有廣告的mbasic.beta.facebook.com。

他發現在這些網站上並沒有次數的限制,因此他就可以用機器人暴力攻擊來取得Pin碼,找到之後他就可以更改臉書帳號的密碼,並且獲得存取權限。下面就是他的示範影片。

從2011年起,Facebook就有推出「捉蟲賞金計畫」,獎勵向該公司報告安全性漏洞的安全研究員、駭客和其他人士。而Prakash在上個月向FB回報了這個漏洞,並且獲得FB的確認,發給他1.5萬美元的獎金。而FB已經在確認之後修復了這個漏洞,將旗下的Beta網站這些漏洞給補起來。

 

資料來源:fossbytes

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則