破解facebook密碼一名安全研究人員發現了一種巧妙的方法,即利用社交網路密碼重設機制的弱點來接管任何 Facebook 帳戶。
一時無聊,來自尼泊爾的漏洞賞金獵人 Samip Aryal發現,通過卸載並使用不同的用戶代理重新安裝 Facebook 應用程序,他可以操縱 Facebook 的密碼重置流程來強行破解身份驗證/登錄代碼,並接管該帳戶。
這是由於以下幾個弱點造成的:
進階安全
1 – 此代碼的有效期限長達兩小時(足夠用來暴力破解 6 位數代碼)
2 – 2 小時內每次都發送相同的代碼
3 – Aryal(攻擊者)可以根據需要嘗試盡可能多的錯誤登入代碼,這再次為暴力攻擊提供了充足的選擇
在一個例子中,通知以明文形式傳回了代碼,使得 Aryal 的發現實現了零點擊帳戶接管。在另一個例子中,通知需要點擊,代碼會顯示在單獨的螢幕上。
使用正確的程式碼,Aryal 重設了帳戶密碼並接管了該帳戶,這使他能夠設定新密碼、停用多因素身份驗證等。
如果通知需要使用者交互,攻擊就會變得更加困難,甚至完全不可能。此外,無論明文或暗文,帳號的真正擁有者都會看到密碼重設過程,這會引起懷疑。
儘管如此,Aryal 的發現還是讓他榮登 Facebook 2024 年漏洞賞金名人堂榜首。這也是他迄今為止收到的報酬最高的漏洞報告,但他沒有透露具體金額。
Facebook 透過電子郵件告訴研究人員,“雖然這確實需要用戶交互,但我們認為點擊通知的門檻比點擊攻擊者發送給您的鏈接要低得多,因此我們決定從 0 次點擊 ATO 中扣除,而不是根據 1 次點擊 ATO 來確定賞金。”
白帽子在一月底報告了這個漏洞。 破解facebook密碼要求一些澄清,並在幾天后最終解決了這個問題,這對該社交網路來說是一個非常迅速的回應。
如果您是 Facebook 的忠實用戶,請確保啟用多因素身份驗證,並警惕未經請求的密碼重設提示 – 或任何涉及更改您帳戶的提示。
