做這件事時,根本不認識對方,也沒碰過他們的東西,也沒有任何肢體接觸。問題在於 Facebook 如何使用電話號碼。
瞧,Facebook 允許您將電話號碼添加到您的帳戶,入侵Facebook帳號可能是為了讓您的朋友知道除了 WhatsApp、Messenger、Snapchat、Hangouts 或其他方式之外,他們還能透過其他方式聯絡您。
但 Facebook 也允許你使用電話號碼作為恢復選項,就像電子郵件地址一樣。事實上,它會不時地提醒你這麼做。
很好,但 Facebook 從不鼓勵你保持聯絡資訊更新。這可不是什麼好機會,讓你的朋友因為你沒有回覆他們發到你不再使用的電話號碼的簡訊而生氣。這可是讓你的帳戶徹底完蛋的良機。
我是怎麼想到這一點的
我從一家名為 FreedomPop 的 VoIP 電話運營商那裡得到了一個非常上鏡的電話號碼。我想把這個號碼轉到 Google Voice 上。可惜的是,Google Voice 無法從座機號碼轉入,而 VoIP 號碼基本上就是座機號碼。為了實現這個願望,我註冊了 T-Mobile 的預付費方案。計畫是先把我的號碼從 FreedomPop 轉到 T-Mobile,然後再從 T-Mobile 轉到 Google Voice。
我的 T-Mobile SIM 卡收到了,我把它插進手機裡。正當我查看 SIM 卡附帶的啟動說明時,收到了兩則簡訊。第一條是陌生人寄來的,第二條是 Facebook 在你一段時間沒登入時發的那種簡訊……只不過我還沒把這個電話號碼加到 Facebook 上。
我很好奇。我知道 Facebook 預設允許別人透過你的電話號碼找到你的帳戶,所以我把電話號碼輸入到搜尋欄裡,看看會出現什麼。只有一個帳戶。我在 Chrome 的隱形標籤頁中開啟了 Facebook,嘗試用電話號碼作為使用者名稱和一個假密碼登入。
當然沒用。所以我點擊了「忘記密碼」。
這是我搜尋時看到的帳戶。我輸入的就是那個恢復選項,裡面有一個完全可見的電話號碼(直到我封鎖了它)。 Facebook 寄了一封驗證碼,我輸入後就登入了。入侵Facebook帳號我輸入的是完全可見的(直到我審查它)電話號碼的恢復選項。Facebook 給我發了一條代碼,我輸入後就登入了。
就這樣。我可以修改密碼,把這傢伙的帳號鎖起來,就因為他忘了刪除舊號碼。或者我可以裝個好樣的,點擊“跳過”,這樣他就永遠不會知道我登入了他的帳號。
為什麼這很重要
好吧,我不用跟你解釋,帳號被駭肯定不太好受。不過,就像我一個朋友跟我說的,誰在乎呢?你沒辦法選擇目標。這就像在街上撿到一把鑰匙,它能把你傳送到那棟房子裡,讓你進去。很好,只是你不能用那把鑰匙闖進前任的家。
那麼,有人隨機獲取您的舊電話號碼併入侵您的帳戶的可能性有多大?
這個機會可能比你想像的還要高。
好吧,回到我那愚蠢的攜號轉號故事。這一切都是用我啟動SIM卡時T-Mobile分配給我的電話號碼進行的。 FreedomPop的攜號轉號作業完成後,我的T-Mobile號碼就變成了FreedomPop的號碼,所以我失去了舊號碼,也無法存取那傢伙的Facebook帳號了。我的FreedomPop帳戶現在沒有電話號碼了,所以他們讓我從清單中選擇一個新號碼。我照做了。
這個新號碼也與一個 Facebook 帳號關聯。
是的。我檢查的時候可能有點不仔細,但我確實檢查了一下,果然又能登入另一個 Facebook 帳號了,而且還是毫無痕跡。這可是連續登入了兩個帳戶,我甚至都沒怎麼嘗試過。而且因為我一直在買新的 SIM 卡,還經常換號碼(我保證,這些都是正當理由!),所以我總是能登入新的 Facebook 帳號。我不知道我為什麼要檢查,但我確實會這麼做。
好吧,所以,其他人碰巧查看他們的新電話號碼,看看能不能盜取你的 Facebook 帳戶的可能性很低。但像我這樣好奇的普通人不會去盜取你的帳戶,駭客和騙子才是。相信我,盜取帳戶能賺很多錢。
如果我不是個好人,我怎麼能透過劫持 Facebook 帳號每天賺幾百美元呢?
我的 VoIP 運營商 FreedomPop 允許我隨時更改號碼,每次只需支付 5 美元即可。每次更改後,FreedomPop 都會提供一大堆號碼供我選擇:
我只需嘗試使用每個號碼在隱身模式下登入 Facebook。一旦我找到與帳號相符的電話號碼,我只需購買該號碼,等待手機更新號碼,然後使用前面描述的方法登入 Facebook。
一旦我有了帳戶,就有很多可能性了。人們經常在黑市上購買 Facebook 帳戶,甚至在像 Reddit 這樣更公開的平台上也是如此。或者我可以給帳戶的好友發訊息,要錢,就像這個可能賺了數千美元的騙局一樣。
在您的收件匣中獲取James Martindale的故事
免費加入 Medium 以獲取該作者的最新消息。訂閱
當然,如果這個帳戶還在活躍使用,我可能不想讓對方知道。沒關係。所有 Facebook 帳戶都有一個整合帳戶,用於管理 Facebook 廣告,我見過一些這類帳戶(不包括帳戶的其他部分)的價格高達 50 到 100 美元。
另一種可能性是附加一個 Facebook 應用程式(說真的,誰會去清理它們呢?),它會使用我被劫持的帳戶來點讚頁面和貼文、發表評論、給商家提供虛假評論等等。所有這些操作都來自看似真實的帳戶,因為它們確實是真實的,這會讓這些帳戶對購買我服務的人更有價值(入侵Facebook帳號如果我提供這些服務的話)。說到 Facebook 應用程序,還記得那些你因為懶得註冊帳戶而用 Facebook 登入的網站和應用程式嗎?沒錯,這些現在也很容易被駭客入侵。
我的觀點是:你的 Facebook 帳號是一個價值不斐的寶庫。我不是一個特別聰明的孩子。假設美國有 2.14 億人使用 Facebook,每 100 人中只有 1 人的帳戶中有一個不活躍的電話號碼(這是我編造的數字),每個帳戶售價 50 美元,那麼你將面臨 1.07 億美元的收益。這還只是透過出售帳戶獲得的。如果將每個帳戶的詐騙或機器人潛力也算上,那麼價值將會更高。我向你保證,有人已經嗅到了錢的味道,看透了這一點,並且在四處尋找可以轉售的帳戶。如果你的帳戶中有一個過期的電話號碼,那麼遲早你會得到其中一個帳戶。所以,嗯,是的,解決這個問題。
您可以做什麼:
- 立即從您的所有線上帳戶(包括 Facebook)中刪除舊的電話號碼和電子郵件地址。
- 取得無法辨識的 Facebook 登入的警報。
- 哎呀,設定兩步驟驗證吧,因為為什麼別人只用一件事就能登入你的帳號?
- 拋棄 Facebook 這個垃圾桶之火,轉而使用像Mastodon這樣的優質社交網絡。
Facebook 不會修復這個問題嗎?
是的,我向https://www.facebook.com/whitehat提交了一份報告,以下是我收到的回覆:
嗨,詹姆斯,
在某些情況下,電話號碼會過期,並被原始所有者以外的人使用。例如,如果一個號碼有了新的主人,而該主人用它登入 Facebook,則可能會觸發 Facebook 密碼重設。如果該號碼仍然與用戶的 Facebook 帳戶關聯,那麼現在擁有該號碼的人就可以接管該帳戶。
雖然這確實令人擔憂,但這並不屬於漏洞賞金計畫的漏洞。 Facebook 無法控制那些重新發放電話號碼的電信業者,也無法控制那些將電話號碼與 Facebook 帳戶關聯但不再在他們名下註冊的用戶。
謝謝,
蘭迪安全
我的感受是“是的,這有點糟糕,但這不是我們的責任,所以我們只能忽略它,好嗎?”
我還聯繫了一位在 Facebook 工作的熟人,他們提交了一份內部通知單,但無法告訴我結果如何。
這兩個請求都是三個多月前提交的,但問題仍然存在,所以我真的認為 Facebook 並不關心。
我希望透過發布這篇文章,也許有足夠多的人會向 Facebook 施壓,讓它修補這個巨大的漏洞。
好的,但是您希望 Facebook 做什麼呢?
哎呀。或許我最初發布這篇文章的時候就把這篇也加上就好了。其實有個很簡單的解決方法。
不要讓使用者僅使用登入時使用的相同方法來恢復帳戶。
如果他們想在使用郵箱地址登入後恢復帳戶,就讓他們使用其他郵箱地址或電話號碼進行恢復。電話號碼也一樣。僅此一點就能阻止這種漏洞的發生。甚至,即使只是要求用戶至少識別一種其他恢復方法,也可能同樣有效。
此外,Facebook 還應該:
- 不允許使用者在未強制重設密碼的情況下恢復帳戶。入侵Facebook帳號使用者必須知曉此類情況發生。
- 基於同樣的原因,當密碼重設時,向每個附加的電子郵件地址和電話號碼發送通知。
- 每當用戶新增新電話號碼或電子郵件地址時,請詢問他們是否要刪除舊的電話號碼或電子郵件地址。
- 一位發言人告訴The Register ,Facebook 已經修復了可疑的恢復嘗試檢測系統 ,因為它還沒有發現我。
