安全研究人员发现找回账号功能存在漏洞 Facebook不认账

作者:admin  发表时间:2017-11-14  浏览:37  海淘动态

据外媒报道,一名安全研究人员宣称,他发现了Facebook账号找回功能中的一个漏洞。这个漏洞可以让任何人在你没有察觉的情况下轻易地进入你的账号。据悉,通过这个漏洞,黑客不需要密码就能够访问你的账户,并且可以让你永远登录不了你的账户。这个漏洞是18岁的詹姆斯·马丁代尔(James Martindale)发现的。当时,他在自己手机上插入了一张新的SIM卡。结果,他很快接到了Facebook发来的一条信息说,他已有一段时间没有登录他的Facebook账号了,而实际的情况是他从来没有将这个新的手机号与他的Facebook账号绑定。然后,他在Facebook上搜索了这个手机号,结果出现了一个与它绑定的账号。马丁代尔试图用这个手机号当做用户名来登录这个账号,然后输入随机的密码,结果失败了,因为他输入的密码显示是错误的。于是,他点击了忘掉密码选项,试图恢复他的账号。结果也失败了。然后,他通过搜索发现了很多找回账号的选项。其中一个选项是Facebook发送密码重置的代码到马丁代尔试图用来登录这个账号的手机号码上。在选择这个选项后,他很快就收到了代码,并成功登录到了这个人的账户中。然后,Facebook给了他修改密码的选择。这个密码一旦被修改,这个账号的真正主人可能就会被锁在外面,再也登录不进来了。如果你不改动密码,那么这个账号的主人将永远不知道他的账号已被入侵。马丁代尔用同样的方法测试了另一个新的手机号,结果一样。但是,当马丁代尔向Facebook汇报这个漏洞的时候,他得到的回复却是这样的:很多时候,人们的手机号码会过期或被提供给了别人。如果一个手机号码有了一个新的主人,他们用它来登录Facebook,就可能会触发Facebook密码重置功能。如果这个手机号仍然与某个用户的Facebook账号绑定,那么这个手机号的新主人就可能占有那个用户的Facebook账号。虽然这是一个问题,但是它并不属于捉虫赏金计划中可以获得奖励的漏洞。电信公司重新发放手机号码,或用户用来绑定Facebook账号的手机号码已不再属于自己,Facebook对此是无能为力的。
海客讨论(0条)

头像

0/300

微博发布

部分图片内容来自于网友投稿

592.15ms