ข้อบกพร่องในกลไกการกู้คืนบัญชีทำให้สามารถควบคุมบัญชีของบุคคลที่สามได้ อย่างไรก็ตาม นักวิจัยที่พบว่ามันได้รับรางวัลเพียง 500 ดอลลาร์เท่านั้น
การแฮ็กบัญชี Facebook ไม่ใช่เรื่องยากหากคุณมีทักษะด้านเทคนิคอยู่บ้าง ด้วยการวิเคราะห์กลไกการกู้คืนบัญชีของเครือข่ายโซเชียลนี้ แฮ็กเกอร์ Gurkirat Singh ได้รับมือกับข้อบกพร่องที่ค่อนข้างเข้าใจง่าย เมื่อคุณคลิกลิงก์ “ลืมรหัสผ่าน” และป้อนชื่อผู้ใช้ของคุณ คุณจะได้รับอีเมลจาก Facebook พร้อมรหัสเปิดใช้งาน 6 หลักซึ่งยังคงใช้งานได้จนกว่าจะหมดอายุ อย่างไรก็ตาม มีความเป็นไปได้นับล้านในการสร้างรหัสหกหลัก นายซิงห์จึงคิดว่าหากมีผู้ใช้มากกว่าหนึ่งล้านคนส่งคำขอกู้คืนบัญชีไม่มากก็น้อยในเวลาเดียวกัน ผู้ใช้บางรายก็จำเป็นต้องมีรหัสเดียวกัน ซึ่งทำให้เขาเกิดความคิดที่จะโจมตี
จม Facebook ด้วยคำขอนับล้าน
คนแรกได้สร้างฐานข้อมูลตัวระบุ Facebook จริงสองล้านตัวโดยดำเนินการค้นหาบนอินเทอร์เฟซการเขียนโปรแกรม Graph API คุณควรรู้ว่าบัญชี Facebook แต่ละบัญชีมีหมายเลขประจำตัวที่ไม่ซ้ำกัน คุณสามารถค้นหาของคุณได้โดยไปที่เว็บไซต์Findmyfbid.com- ด้วยการสุ่มหมายเลขตัวระบุ API จะช่วยให้แฮกเกอร์ทราบว่าสอดคล้องกับบัญชีจริงหรือไม่ จากนั้น หากต้องการดึงข้อมูลตัวระบุ เพียงพิมพ์ URL ของ Facebook ตามด้วยหมายเลขและโอมเพี้ยง จากนั้น URL จะถูกแปลงเป็นตัวระบุโดยอัตโนมัติ เราทดสอบแล้ว: มันใช้งานได้
หลังจากนั้น Gurkirat Singh ได้เขียนสคริปต์ที่ช่วยให้คุณสามารถส่งคำขอกู้คืนบัญชีสำหรับตัวระบุแต่ละตัวได้ เพื่อหลีกเลี่ยงการถูกบล็อก เขาตรวจสอบให้แน่ใจว่าที่มาของคำขอกู้คืนนั้นเกี่ยวข้องกับที่อยู่ IP ที่แตกต่างกันนับพันรายการ“มีบริการออนไลน์หลายอย่างที่มีฟังก์ชันประเภทนี้”เขาเน้นย้ำในกโพสต์ในบล็อก- จากนั้นเขาก็สุ่มเลือกรหัสหกหลักและพยายามกู้คืนแต่ละบัญชีในฐานข้อมูลของเขา (แน่นอนว่าใช้สคริปต์อัตโนมัติ) บิงโก มันได้ผล! สามารถสร้างรหัสผ่านใหม่สำหรับบัญชีใดบัญชีหนึ่งได้
หลังจากรายงานการละเมิดนี้ต่อ Facebook แล้ว Gurkirat Singh ก็ได้รับรางวัล 500 ดอลลาร์ ซึ่งถือว่าค่อนข้างน้อย“นี่เป็นข้อบกพร่องร้ายแรงที่ทำให้สามารถเข้าถึงบัญชีของบุคคลที่สามได้อย่างสมบูรณ์ แต่สำหรับ Facebook ถือว่ามีความสำคัญต่ำ ฉันไม่รู้ว่าทำไม"เขากล่าวเสริมว่าผิดหวังเล็กน้อย ตั้งแต่นั้นมา Facebook ได้อุดช่องโหว่ดังกล่าว โดยเฉพาะอย่างยิ่งการใช้ตัวกรองที่เข้มงวดมากขึ้นกับที่อยู่ IP ใกล้ข่าวแฮ็กเกอร์แฮกเกอร์ยังคงแสดงความสงสัยเกี่ยวกับประสิทธิภาพของแพตช์นี้ เขาคิดว่าการโจมตีของเขายังคงเป็นไปได้โดยการใช้ที่อยู่ IP จำนวนมาก
อย่างไรก็ตาม โปรดทราบว่าการรับรองความถูกต้องแบบสองขั้นตอน (รหัสที่ส่งทาง SMS) จะช่วยป้องกันการโจมตีประเภทนี้ แม้ว่าแฮกเกอร์จะเปลี่ยนรหัสผ่านของคุณได้ พวกเขาก็ยังจำเป็นต้องได้รับรหัสสุ่มอันล้ำค่านี้ ซึ่งเริ่มมีความซับซ้อนมากขึ้น
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
