居安思危,思则有备,有备无患。
五月份的时候分享过一篇文章《我是如何绕过Google和Facebook等大网站的两步验证的》,当时因为看到有人说Facebook账户被盗了,损失了几万美金最后不了了之的事情,代理商同学也让大家打开双重验证,好像也都没有引起足够的重视,听闻最近又有某家因为账户被盗,随时还挺大(事情已经过去了一段时间,因为懒就没有就这件事写一写东西)。
还是分享很古早的一篇文章,这边文章来源于16年,当时就出现过类似的事情,奈何侥幸的人有很多,并不能引起人们足够的重视,毕竟事情没有发生在自己身上。
1
来自加利福利亚的 Gurkirat Singh曾经发现一个存在于facebook密码重置机制上的漏洞,能够让黑客完全获得受害人Facebook上的账户权限。
国外的一位白帽子,向众人证明了破解一个facebook帐号的可操作性,而且只需借助一些基础的计算机技术就可能实现。不管帐号设置多么复杂的强密码,或者采取了怎样额外的安全措施,都有可能被破解。这并不是危言耸听,存在于facebook密码重置机制上的漏洞,能够让黑客完全获得受害人Facebook上的账户权限。包括能看到你的聊天记录,银行卡支付记录等等。
2
如何破解多个Facebook帐号
这种网络攻击的原理很简单,但复现起来还是有一定难度。当你试图重置你的帐号密码时,你的Facebook会生成一个6位的随机验证码,以帮助你完成而密码重置操作,而这样的随机验证码组合会有10^6,也就是100万种组合。
“那么就存在这样一种可能性,如果有100万用户在短时间内,均提出了重置密码的请求,并且暂未使用6位验证码重置自己的密码,那么接下来第100万零1个用户在发起重置密码请求的时候,很可能会收到跟上一批次某个用户相同的验证码”
借由这个猜测,Gurkirat首先通过简单的技术手段,收集到200万个有效的Facebook用户ID,使用代理服务器,实现在短时间内模拟200万个用户同时发起密码重置请求,目的是为了尽量穷尽6位验证码所有的组合情况。之后,Gurkirat使用随机的6位验证码,例如666666,通过暴力破解的方式,对刚刚提出密码重置需求的200个用户,进行验证,那么极有可能Gurkirat的随机验证码“666666”,刚好对应到这200万个用户中的某一个或者某几个,进而借由此验证码重置密码,进而取得你的Facebook帐号权限。
其实早在2016年5月,Gurkirat就曾向Facebook团队提交过此漏洞,不过当时Facebook方面认为漏洞复现成本过高,有些难以实现,直至Gurkirat利用上述流程复现了漏洞。Facebook团队确认了该漏洞并发布了补丁,而Gurkirat本人也被授予了500$的漏洞发现奖励。
3
如何保护的facebook帐号安全
为了避免已经被发现,和尚未被发现漏洞对用户的帐号再次造成影响,推荐用户使用下列方法提高账户安全:
添加二次验证:如果有人使用新的设备或者在新的页面登录你的Facebook帐号时,你帐号所绑定的手机会收到6位验证码短信,为你的登录添加了二次保障。
启用登录预警:当有人试图远程访问你的帐号时,Facebook会以短信或者电子邮件的方式向你发送提醒,如果这可能是一条未经授权的访问,你可以通过邮件中的链接,终止此次访问。
使用密码管理软件:“弱口令”一直是密码泄漏原因中最为常见的一种。️针对不同帐号,使用复杂强密码,有利于保障你的帐号安全。而使用密码管理软件,既方便你记忆和使用强密码,也有助于保护帐号安全。目前比较知名的国外密码管理软件有,one Password、LastPass、KeyPass等等。
4
美元挺贵的,这么大把大把的真金白银损失了也很心疼,小心一点,麻烦一点总比丢了强。
END
做一个不断成长的公众号
我在这里等你,一起成长,一起学习。
我就知道你“在看”
作者:小马哥 来源:小马哥
本文为作者独立观点,不代表出海笔记立场,如若转载请联系原作者。
