游客

安全研究人员发现找回账号功能存在漏洞 Facebook不认账

游客 2017-07-22 17:45:25    201203 次浏览

安全研究人员发现找回账号功能存在漏洞 Facebook不认账

腾讯科技讯,据外媒报道,一名安全研究人员宣称,他发现了 Facebook 账号找回功能中的一个漏洞。这个漏洞可以让任何人在你没有察觉的情况下轻易地进入你的账号。

据悉,通过这个漏洞,黑客“不需要密码就能够访问你的账户,并且可以让你永远登录不了你的账户。”

这个漏洞是 18 岁的詹姆斯·马丁代尔(James Martindale)发现的。当时,他在自己手机上插入了一张新的 SIM 卡。结果,他很快接到了 Facebook 发来的一条信息说,他“已有一段时间没有登录他的 Facebook 账号了”,而实际的情况是他从来没有将这个新的手机号与他的 Facebook 账号绑定。

然后,他在 Facebook 上搜索了这个手机号,结果出现了一个与它绑定的账号。

马丁代尔试图用这个手机号当做用户名来登录这个账号,然后输入随机的密码,结果失败了,因为他输入的密码显示是错误的。

于是,他点击了“忘掉密码”选项,试图恢复他的账号。结果也失败了。

然后,他通过搜索发现了很多找回账号的选项。“其中一个选项是 Facebook 发送密码重置的代码到马丁代尔试图用来登录这个账号的手机号码上。”在选择这个选项后,他很快就收到了代码,并成功登录到了这个人的账户中。

“然后,Facebook 给了他修改密码的选择。这个密码一旦被修改,这个账号的真正主人可能就会被锁在外面,再也登录不进来了。如果你不改动密码,那么这个账号的主人将永远不知道他的账号已被入侵。”

马丁代尔用同样的方法测试了另一个新的手机号,结果一样。但是,当马丁代尔向 Facebook 汇报这个漏洞的时候,他得到的回复却是这样的:

“很多时候,人们的手机号码会过期或被提供给了别人。如果一个手机号码有了一个新的主人,他们用它来登录 Facebook,就可能会触发 Facebook 密码重置功能。如果这个手机号仍然与某个用户的 Facebook 账号绑定,那么这个手机号的新主人就可能占有那个用户的 Facebook 账号。”

“虽然这是一个问题,但是它并不属于捉虫赏金计划中可以获得奖励的漏洞。电信公司重新发放手机号码,或用户用来绑定 Facebook 账号的手机号码已不再属于自己,Facebook 对此是无能为力的。”

内容加载中