在脸书上,当使用者遗忘了自己的密码的时候,脸书会要求他们输入与这个脸书账号相关连的Email地址、电话号码或是名字,然后他们会传送一个六个位元的Pin码来给使用者,用来认证。而Anand Prakash 尝试的,就是想要利用暴力破解法来破解这个Pin码,让他不需要取得Pin码也能重设账号,如此一来,理论上他就可以重设任何人的脸书账号。
Prakash首先在Facebook.com上尝试这个方式,不过Facebook.com会在使用者尝试10~12次失败之后锁定不让他尝试下去。但是Prakash想到另外一个网址,一般人比较少知道的Facebook的Beta网址:beta.facebook.com,或是另一个没有广告的mbasic.beta.facebook.com。
他发现在这些网站上并没有次数的限制,因此他就可以用机器人暴力攻击来取得Pin码,找到之后他就可以更改脸书账号的密码,并且获得存取权限。下面就是他的示范影片。
从2011年起,Facebook就有推出“捉虫赏金计划”,奖励向该公司报告安全性漏洞的安全研究员、骇客和其他人士。而Prakash在上个月向FB回报了这个漏洞,并且获得FB的确认,发给他1.5万美元的奖金。而FB已经在确认之后修复了这个漏洞,将旗下的Beta网站这些漏洞给补起来。
资料来源:fossbytes
