據(jù)外媒報道,一名安全研究人員宣稱,他發(fā)現(xiàn)了Facebook賬號找回功能中的一個漏洞。這個漏洞可以讓任何人在你沒有察覺的情況下輕易地進(jìn)入你的賬號。
據(jù)悉,通過這個漏洞,黑客“不需要密碼就能夠訪問你的賬戶,并且可以讓你永遠(yuǎn)登錄不了你的賬戶。”
這個漏洞是18歲的詹姆斯·馬丁代爾(James Martindale)發(fā)現(xiàn)的。當(dāng)時,他在自己手機(jī)上插入了一張新的SIM卡。結(jié)果,他很快接到了Facebook發(fā)來的一條信息說,他“已有一段時間沒有登錄他的Facebook賬號了”,而實(shí)際的情況是他從來沒有將這個新的手機(jī)號與他的Facebook賬號綁定。
然后,他在Facebook上搜索了這個手機(jī)號,結(jié)果出現(xiàn)了一個與它綁定的賬號。
馬丁代爾試圖用這個手機(jī)號當(dāng)做用戶名來登錄這個賬號,然后輸入隨機(jī)的密碼,結(jié)果失敗了,因?yàn)樗斎氲拿艽a顯示是錯誤的。
于是,他點(diǎn)擊了“忘掉密碼”選項,試圖恢復(fù)他的賬號。結(jié)果也失敗了。
然后,他通過搜索發(fā)現(xiàn)了很多找回賬號的選項。“其中一個選項是Facebook發(fā)送密碼重置的代碼到馬丁代爾試圖用來登錄這個賬號的手機(jī)號碼上。”在選擇這個選項后,他很快就收到了代碼,并成功登錄到了這個人的賬戶中。
“然后,F(xiàn)acebook給了他修改密碼的選擇。這個密碼一旦被修改,這個賬號的真正主人可能就會被鎖在外面,再也登錄不進(jìn)來了。如果你不改動密碼,那么這個賬號的主人將永遠(yuǎn)不知道他的賬號已被入侵。”
馬丁代爾用同樣的方法測試了另一個新的手機(jī)號,結(jié)果一樣。但是,當(dāng)馬丁代爾向Facebook匯報這個漏洞的時候,他得到的回復(fù)卻是這樣的:
“很多時候,人們的手機(jī)號碼會過期或被提供給了別人。如果一個手機(jī)號碼有了一個新的主人,他們用它來登錄Facebook,就可能會觸發(fā)Facebook密碼重置功能。如果這個手機(jī)號仍然與某個用戶的Facebook賬號綁定,那么這個手機(jī)號的新主人就可能占有那個用戶的Facebook賬號。”
“雖然這是一個問題,但是它并不屬于捉蟲賞金計劃中可以獲得獎勵的漏洞。電信公司重新發(fā)放手機(jī)號碼,或用戶用來綁定Facebook賬號的手機(jī)號碼已不再屬于自己,F(xiàn)acebook對此是無能為力的。”
京公網(wǎng)安備 11010502049343號