一名印度的安全專家、部落客 Anand Prakash ,他找到了一個方法,可以駭進任何人的 Facebook,取得他們的帳號控制權,以及 Facebook 上的訊息、照片、內容以及儲存在上頭的信用卡資訊。
在 Facebook 上,當使用者忘了自己的密碼的時候,Facebook 會要求他們輸入與這個 Facebook 帳號相關連的 Email 地址、電話號碼或是名字,然後他們會傳送一個 6 個位元的 Pin 碼來給使用者,用來認證。而 Anand Prakash 嘗試的,就是想要利用暴力破解法來破解這個 Pin 碼,讓他不需要取得 Pin 碼也能重設帳號,如此一來,理論上他就可以重設任何人的 Facebook 帳號。
Prakash 首先在 Facebook.com 上嘗試這個方式,不過 Facebook.com 會在使用者嘗試 10~12 次失敗之後鎖定不讓他嘗試下去。但是 Prakash 想到另外一個網址,一般人比較少知道的 Facebook 的 Beta 網址:beta.facebook.com,或是另一個沒有廣告的 mbasic.beta.facebook.com。
他發現在這些網站上並沒有次數的限制,因此他就可以用機器人暴力攻擊來取得 Pin 碼,找到之後他就可以更改 Facebook 帳號的密碼,並且獲得存取權限。下面就是他的示範影片。
(Source:YouTube)
從 2011 年起,Facebook 就有推出「捉蟲賞金計畫」,獎勵向該公司報告安全性漏洞的安全研究員、駭客和其他人士。而 Prakash 在上個月向 Facebook 回報了這個漏洞,並且獲得 Facebook 的確認,發給他 1.5 萬美元的獎金。而 Facebook 已經在確認之後修復了這個漏洞,將旗下的 Beta 網站這些漏洞補起來。
(本文由 T客邦 授權轉載)
科技新報粉絲團
加入好友
訂閱免費電子報
