【大.纪.元;2016年03月10日讯】(大.纪.元;记者凌妃编译报导)脸书(Facebook)最近出现系统密码漏洞,随后被一名印度资安工程师发现,并即时修补。最后脸书发给这名发现问题的工程师1.5万美元作为抓漏奖金。
据科技网站SoftPedia 3月7日报导,印度资安专家普拉卡什(Anand Prakash)于2月22日发现可以骇进任何人的脸书,取得他们的账号控制权,进而轻易变更他人密码的方法,然后重新设定一个新密码,快速取得他人的档案。
普拉卡什发现脸书系统的漏洞,最后帮助脸书修复了这个问题。
普拉卡什在他的博客上写,只要利用简单的暴力攻击就可以破解系统,来重设任何人的脸书账号。
当用户忘记脸书密码时,系统会要求输入Email、电话号码等资讯来确认,随后以SMS寄出一组六位元PIN码让用户确认,以更改密码。此刻,黑客只要运用简单的暴力攻击就可以破解这组PIN代码,也就是说,黑客不需要PIN代码也能重设任何人的账号。
因为Facebook.com主网站有自动保护机制,用户只要在尝试10至12次失败之后,就锁定无法作用。不过,普拉卡什透过Facebook的Beta网址(beta.facebook.com)和没有广告的mbasic.beta.facebook.com暴力攻击,都行得通。
这两个版本是脸书的测试网站,主要供开发人员测试脸书的功能,允许一般用户登入,也没有10至12次输入失败的自动保护机制。
普拉卡什在今年2月22日将发现漏洞提交给脸书,脸书在隔天即完成修补,还颁发1.5万美元的抓漏奖金给他。#
责任编辑: 王若愚
