黑客可以利用這個技巧接管你的 Facebook 帳戶

一名安全研究人員找到了一種巧妙的方法，即利用社交網絡密碼重置機製的弱點來接管任何 Facebook 帳戶。

一時無聊，來自尼泊爾的漏洞賞金獵人薩米普·阿裡亞爾 (Samip Aryal)髮現，通過卸載並使用不同的用戶代理重新安裝 Facebook 應用程序，他可以操縱 Facebook 的密碼重置流程，強行破解身份驗証/登錄代碼，並接管該帳戶。

這是由於以下幾個弱點造成的：

1 – 代碼有效期長達兩個小時（足夠暴力破解 6 位數代碼）

2 – 2 小時內每次都髮送相同的代碼

3 – Aryal（攻擊者）可以嚐試儘可能多的錯誤登錄代碼，這再次爲暴力攻擊提供了大量選擇

在一個例子中，通知以明文形式返回代碼，使得 Aryal 的髮現成爲零點擊賬戶接管。在另一個例子中，通知需要點擊，並且代碼顯示在單獨的屏幕上。

使用正確的代碼，Aryal 重置了賬戶密碼並接管了賬戶，這使他能夠設置新密碼、禁用多因素身份驗証等。

如果通知需要用戶交互，攻擊將更加難以實施，甚至不可能。此外，在這兩種情況下（明文或非明文），賬戶的真正所有者都會看到密碼重置過程的展開，從而引起懷疑。

儘管如此，Aryal 的髮現還是讓他登上了 2024 年 Facebook 漏洞賞金名人堂的榜首。這也是他迄今爲止報酬最高的漏洞報告，但他沒有透露具體金額。

Facebook 通過電子郵件告訴研究人員，“雖然這確實需要用戶交互，但我們認爲點擊通知的門檻比點擊攻擊者髮送給您的鏈接要低得多，因此我們決定從 0 次點擊 ATO 中扣除，而不是根據 1 次點擊 ATO 來確定賞金。”

白帽子在 1 月底報告了該漏洞。Facebook 要求對方做出一些澄清，幾天後才最終解決了該問題，這對該社交網絡而言是一個非常迅速的回應。

如果您是 Facebook 的忠實用戶，請確保啟用多因素身份驗証，並警惕未經請求的密碼重置提示 - 或任何涉及更改您帳戶的提示。

如果有疑問，請自行啟動密碼重置流程，設置一個全新的複雜密碼，並避免使用短信進行多因素身份驗証。相反，請使用受信任的身份驗証器應用程序。