只要您具备一定的技术技能,破解 Facebook 帐户并不困难。通过分析该社交网络的帐户恢复机制,黑客古基拉特·辛格发现了一个相对简单易懂的漏洞。当您点击“忘记密码”链接并输入您的用户名时,您会收到一封来自 Facebook 的电子邮件,其中包含 6 位激活码,该激活码在过期未使用之前一直有效。然而,创建六位代码有一百万种可能性。因此,辛格先生认为,如果超过一百万用户或多或少同时发送帐户恢复请求,那么其中一些用户必然会使用相同的代码。这让他萌生了进攻的念头。
Facebook 被数以百万计的请求淹没
该男子首先通过在 Graph API 编程接口上执行查询,建立了一个包含 200 万个真实 Facebook 标识符的数据库。您应该知道每个 Facebook 帐户都有一个唯一的标识符号。您可以通过访问该网站找到您的查找我的fbid.com。通过随机获取标识符号,该 API 可以让黑客知道它是否对应于真实帐户。然后,要检索标识符,只需键入 Facebook URL,后跟数字,然后后者就会自动转换为标识符。我们测试了它:它有效。
之后,Gurkirat Singh 编写了一个脚本,允许您为每个标识符发送帐户恢复请求。为了避免被阻止,他确保恢复请求的来源围绕数千个不同的 IP 地址。“有多种在线服务提供此类功能”,他强调,在博客文章。然后他随机选择一个六位数代码并尝试恢复数据库中的每个帐户(当然使用自动脚本)。宾果游戏,它有效!它可以为其中一个帐户创建一个新密码。
在向 Facebook 报告这一违规行为后,古基拉特·辛格 (Gurkirat Singh) 获得了 500 美元的奖励,数额相对较小。“这是一个严重的缺陷,允许完全访问第三方帐户,但对于 Facebook 来说,它的优先级较低。我不知道为什么”,他补充道,有点失望。从那时起,Facebook 堵住了漏洞,特别是对 IP 地址应用了更积极的过滤器。靠近黑客新闻尽管如此,黑客还是对这个补丁的有效性表示怀疑。他认为通过获取更大的 IP 地址池,他的攻击仍然可行。
无论如何,请注意两步身份验证(通过短信发送的代码)有助于防止此类攻击。即使黑客设法更改您的密码,他们也需要获取这个宝贵的随机代码。这开始变得更加复杂。
