您的当前位置:主页 > T翼生活 >工程师发现Facbook找回帐号功能有漏洞,但官方不认帐

工程师发现Facbook找回帐号功能有漏洞,但官方不认帐

分类:T翼生活 作者:
工程师发现Facbook找回帐号功能有漏洞,但官方不认帐
REUTERS/Regis Duvignau

本文来自合作媒体 腾讯科技 ,INSIDE 授权转载

据外媒报道,有工程师宣称发现了 Facebook 帐号找回功能中的一个漏洞。这个漏洞可以让任何人在你没有察觉的情况下轻易地进入你的帐号。

据了解透过这个漏洞,骇客「不需要密码就能够访问你的帐户,并且可以让你永远登录不了你的帐户。」

这个漏洞是 18 岁的 James Martindale 发现的。当时,他在自己手机上插入了一张新 SIM 卡。结果,他很快接到了 Facebook 发来的一条讯息说,他「已有一段时间没有登录他的 Facebook 帐号了」,而实际的情况是他从来没有将这个新的手机号与他的 Facebook 帐号绑定。

然后,他在 Facebook 上搜索了这个手机号,结果出现了一个与它绑定的帐号。

Martindale 试图用这个手机号当做用户名来登录这个帐号,然后输入随机的密码,结果失败了,因为他输入的密码显示是错误的。

于是,他点击了「忘掉密码」选项,试图恢复他的帐号。结果也失败了。

然后,他通过搜索发现了很多找回帐号的选项。「其中一个选项是 Facebook 发送密码重置的代码到 Martindale 试图用来登录这个帐号的手机号码上。」在选择这个选项后,他很快就收到了代码,并成功登录到了这个人的帐户中。

「然后,Facebook 给了他修改密码的选择。这个密码一旦被修改,这个帐号的真正主人可能就会被锁在外面,再也登录不进来了。如果你不改动密码,那幺这个帐号的主人将永远不知道他的帐号已被入侵。」

Martindale 用同样的方法测试了另一个新的手机号,结果一样。但是,当 Martindale 向 Facebook 彙报这个漏洞的时候,他得到的回复却是这样的:

「很多时候,人们的手机号码会过期或被提供给了别人。如果一个手机号码有了一个新的主人,他们用它来登录 Facebook,就可能会触发 Facebook 密码重置功能。如果这个手机号仍然与某个用户的 Facebook 帐号绑定,那幺这个手机号的新主人就可能佔有那个用户的 Facebook 帐号。」

「虽然这是一个问题,但是它并不属于捉虫赏金计划中可以获得奖励的漏洞。电信公司重新发放手机号码,或用户用来绑定 Facebook 帐号的手机号码已不再属于自己,Facebook 对此是无能为力的。」