如果您有一些技术技能,那么海盗的Facebook帐户并不困难。通过分析该社交网络的帐户恢复机制,Hacker Gurkirat Singh掌握了一个相对易于理解的缺陷。当我们单击“忘记密码”链接并提供信息时,我们从Facebook接收一封电子邮件,其中包含6个数字激活代码,只要没有使用它,该电子邮件仍保持有效。但是,创建六位数代码有一百万个可能性。辛格先生说,因此他是,如果超过一百万用户同时发送了或多或少的帐户恢复请求,则有些用户一定会具有相同的代码。这给了他攻击的想法。
Facebook胡桃木带有数百万要求
该男子首先通过在图形API编程界面上执行请求来建立了200万个真实的Facebook标识符。您应该知道每个Facebook帐户都有一个唯一的标识符号。您可以通过去网站来了解您的findmyfbid.com。通过随机处理标识符号,API允许黑客知道他是否与真实帐户相对应。然后,要恢复标识符,只需键入Facebook URL,然后键入该数字和HOP,后者就会自动通过标识符转换。我们对其进行了测试:它有效。
之后,Gurkirat Singh编写了一个脚本,允许您为每个标识符发送帐户恢复请求。为了不被阻止,他确保恢复请求的起源在数千种不同的IP地址上运行。“有几种提供此类功能的在线服务”,他强调博客。然后,他随机选择了一个六位数的代码,并为其基地的每个帐户尝试恢复(当然是通过自动脚本)。宾果游戏,它有效!他可以为其中一个帐户创建新密码。
在通过Facebook通知了这个缺陷后,Gurkirat Singh获得了500美元的奖励,这相对较少。“这是一个关键缺陷,可以完全访问第三方的帐户,但是对于Facebook来说,优先级很低。我不知道为什么”,他补充说,有点失望。从那时起,Facebook堵塞了违规行为,特别是在IP地址上应用了更具侵略性的过滤器。和黑客新闻尽管如此,黑客仍然对这个补丁的有效性表示怀疑。他认为,通过获取更广泛的IP地址池,他的攻击总是可行的。
无论如何,请注意,两个步骤的身份验证(SMS发送的代码)有助于保护自己免受此类攻击。即使海盗设法更改了密码,他也必须获得此宝贵的随机代码。这开始变得更加复杂。
