圖片來源: 

Facebook

臉書(Facebook)近日修補了一個重大的安全漏洞,該漏洞允許駭客透過暴力破解重設臉書用戶的密碼,危及11億臉書用戶帳號安全。

這個漏洞是由印度資安研究人員Anand Prakash所發現的,並在今年2月下旬提交給臉書,臉書在隔天即完成修補,還頒發了1.5萬美元的抓漏獎金予Prakash。

Prakash本周公開了漏洞細節,指出Facebook有一個重設密碼的機制,當用戶忘記密碼時,可要求該機制傳送一個6位數的號碼到手機或電子郵件帳號,以便重設密碼。在Facebook.com上,為避免6位數號碼被破解,僅允許10到12次的輸入錯誤,否則帳號便會被封鎖。

然而,臉書所建置的beta.facebook.com及mbasic.beta.facebook.com兩個測試網站並無輸入錯誤的次數限制,這些網站主要供開發人員測試臉書的功能,但也允許一般用戶登入,因此,駭客可以經由這些測試網站暴力破解更新密碼的6位數號碼,即可取得任何臉書用戶的帳號。


Advertisement

更多 iThome相關內容