騰訊科技訊 據外媒報道,一名安全研究人員宣稱,他發現瞭 Facebook 賬號找回功能中的一個漏洞。這個漏洞可以讓任何人在你沒有察覺的情況下輕易地進入你的賬號。
據悉,通過這個漏洞,黑客 " 不需要密碼就能夠訪問你的賬戶,並且可以讓你永遠登錄不瞭你的賬戶。"
這個漏洞是 18 歲的詹姆斯 · 馬丁代爾(James Martindale)發現的。當時,他在自己手機上插入瞭一張新的 SIM 卡。結果,他很快接到瞭 Facebook 發來的一條信息說,他 " 已有一段時間沒有登錄他的 Facebook 賬號瞭 ",而實際的情況是他從來沒有將這個新的手機號與他的 Facebook 賬號綁定。
然後,他在 Facebook 上搜索瞭這個手機號,結果出現瞭一個與它綁定的賬號。
馬丁代爾試圖用這個手機號當做用戶名來登錄這個賬號,然後輸入隨機的密碼,結果失敗瞭,因為他輸入的密碼顯示是錯誤的。
於是,他點擊瞭 " 忘掉密碼 " 選項,試圖恢復他的賬號。結果也失敗瞭。
然後,他通過搜索發現瞭很多找回賬號的選項。" 其中一個選項是 Facebook 發送密碼重置的代碼到馬丁代爾試圖用來登錄這個賬號的手機號碼上。" 在選擇這個選項後,他很快就收到瞭代碼,並成功登錄到瞭這個人的賬戶中。
" 然後,Facebook 給瞭他修改密碼的選擇。這個密碼一旦被修改,這個賬號的真正主人可能就會被鎖在外面,再也登錄不進來瞭。如果你不改動密碼,那麼這個賬號的主人將永遠不知道他的賬號已被入侵。"
馬丁代爾用同樣的方法測試瞭另一個新的手機號,結果一樣。但是,當馬丁代爾向 Facebook 匯報這個漏洞的時候,他得到的回復卻是這樣的:
" 很多時候,人們的手機號碼會過期或被提供給瞭別人。如果一個手機號碼有瞭一個新的主人,他們用它來登錄 Facebook,就可能會觸發 Facebook 密碼重置功能。如果這個手機號仍然與某個用戶的 Facebook 賬號綁定,那麼這個手機號的新主人就可能占有那個用戶的 Facebook 賬號。"
" 雖然這是一個問題,但是它並不屬於捉蟲賞金計劃中可以獲得獎勵的漏洞。電信公司重新發放手機號碼,或用戶用來綁定 Facebook 賬號的手機號碼已不再屬於自己,Facebook 對此是無能為力的。"(編譯 / 樂學)
