只要您具備一定的技術技能,破解 Facebook 帳號並不困難。透過分析該社群網路的帳號恢復機制,駭客古基拉特·辛格發現了一個相對簡單易懂的漏洞。當您點擊「忘記密碼」連結並輸入您的使用者名稱時,您會收到一封來自 Facebook 的電子郵件,其中包含 6 位數的啟動碼,該啟動碼在過期未使用之前一直有效。然而,創建六位代碼有一百萬種可能性。因此,辛格先生認為,如果超過一百萬用戶或多或少同時發送帳戶恢復請求,那麼其中一些用戶必然會使用相同的程式碼。這讓他萌生了進攻的念頭。
Facebook 被數以百萬計的請求淹沒
該男子首先透過在 Graph API 程式設計介面上執行查詢,建立了一個包含 200 萬個真實 Facebook 識別碼的資料庫。您應該知道每個 Facebook 帳戶都有一個唯一的識別符號。您可以透過造訪該網站找到您的尋找我的fbid.com。透過隨機取得標識符號,該 API 可以讓駭客知道它是否對應於真實帳戶。然後,要檢索標識符,只需鍵入 Facebook URL,後面跟著數字,然後後者就會自動轉換為標識符。我們測試了它:它有效。
之後,Gurkirat Singh 編寫了一個腳本,讓您可以為每個識別碼發送帳戶恢復請求。為了避免被阻止,他確保恢復請求的來源圍繞著數千個不同的 IP 位址。“有多種線上服務提供此類功能”,他強調,在部落格文章。然後他隨機選擇一個六位數代碼並嘗試恢復資料庫中的每個帳戶(當然使用自動腳本)。賓果遊戲,它有效!它可以為其中一個帳戶建立一個新密碼。
在向 Facebook 報告這一違規行為後,古基拉特辛格 (Gurkirat Singh) 獲得了 500 美元的獎勵,數額相對較小。「這是一個嚴重的缺陷,允許完全存取第三方帳戶,但對於 Facebook 來說,它的優先順序較低。我不知道為什麼”,他補充道,有點失望。從那時起,Facebook 堵住了漏洞,特別是對 IP 位址應用了更積極的過濾器。靠近駭客新聞儘管如此,駭客還是對這個補丁的有效性表示懷疑。他認為透過取得更大的 IP 位址池,他的攻擊仍然可行。
無論如何,請注意兩步驟身份驗證(透過簡訊發送的代碼)有助於防止此類攻擊。即使駭客設法更改您的密碼,他們也需要獲得這個寶貴的隨機代碼。這開始變得更加複雜。
