一名印度的安全专家、部落客 Anand Prakash ,他找到了一个方法,可以骇进任何人的脸书,取得他们的帐号控制权,以及脸书上的讯息、照片、内容以及储存在上头的信用卡资讯。
在脸书上,当使用者遗忘了自己的密码的时候,脸书会要求他们输入与这个脸书帐号相关连的Email地址、电话号码或是名字,然后他们会传送一个六个位元的Pin码来给使用者,用来认证。而Anand Prakash 尝试的,就是想要利用暴力破解法来破解这个Pin码,让他不需要取得Pin码也能重设帐号,如此一来,理论上他就可以重设任何人的脸书帐号。
Prakash首先在Facebook.com上尝试这个方式,不过Facebook.com会在使用者尝试10~12次失败之后锁定不让他尝试下去。但是Prakash想到另外一个网址,一般人比较少知道的Facebook的Beta网址:beta.facebook.com,或是另一个没有广告的mbasic.beta.facebook.com。
他发现在这些网站上并没有次数的限制,因此他就可以用机器人暴力攻击来取得Pin码,找到之后他就可以更改脸书帐号的密码,并且获得存取权限。下面就是他的示範影片。
从2011年起,Facebook就有推出「捉虫赏金计画」,奖励向该公司报告安全性漏洞的安全研究员、骇客和其他人士。而Prakash在上个月向FB回报了这个漏洞,并且获得FB的确认,发给他1.5万美元的奖金。而FB已经在确认之后修复了这个漏洞,将旗下的Beta网站这些漏洞给补起来。
资料来源:fossbytes
Facebook LINE Twitter Google+