居安思危,思則有備,有備無患。
五月份的時候分享過一篇文章《我是如何繞過Google和Facebook等大網站的兩步驗證的》,當時因為看到有人說Facebook賬戶被盜了,損失了幾萬美金最后不了了之的事情,代理商同學也讓大家打開雙重驗證,好像也都沒有引起足夠的重視,聽聞最近又有某家因為賬戶被盜,隨時還挺大(事情已經過去了一段時間,因為懶就沒有就這件事寫一寫東西)。
還是分享很古早的一篇文章,這邊文章來源于16年,當時就出現過類似的事情,奈何僥幸的人有很多,并不能引起人們足夠的重視,畢竟事情沒有發生在自己身上。
1
來自加利福利亞的 Gurkirat Singh曾經發現一個存在于facebook密碼重置機制上的漏洞,能夠讓黑客完全獲得受害人Facebook上的賬戶權限。
國外的一位白帽子,向眾人證明了破解一個facebook帳號的可操作性,而且只需借助一些基礎的計算機技術就可能實現。不管帳號設置多么復雜的強密碼,或者采取了怎樣額外的安全措施,都有可能被破解。這并不是危言聳聽,存在于facebook密碼重置機制上的漏洞,能夠讓黑客完全獲得受害人Facebook上的賬戶權限。包括能看到你的聊天記錄,銀行卡支付記錄等等。
2
如何破解多個Facebook帳號
這種網絡攻擊的原理很簡單,但復現起來還是有一定難度。當你試圖重置你的帳號密碼時,你的Facebook會生成一個6位的隨機驗證碼,以幫助你完成而密碼重置操作,而這樣的隨機驗證碼組合會有10^6,也就是100萬種組合。
“那么就存在這樣一種可能性,如果有100萬用戶在短時間內,均提出了重置密碼的請求,并且暫未使用6位驗證碼重置自己的密碼,那么接下來第100萬零1個用戶在發起重置密碼請求的時候,很可能會收到跟上一批次某個用戶相同的驗證碼”
借由這個猜測,Gurkirat首先通過簡單的技術手段,收集到200萬個有效的Facebook用戶ID,使用代理服務器,實現在短時間內模擬200萬個用戶同時發起密碼重置請求,目的是為了盡量窮盡6位驗證碼所有的組合情況。之后,Gurkirat使用隨機的6位驗證碼,例如666666,通過暴力破解的方式,對剛剛提出密碼重置需求的200個用戶,進行驗證,那么極有可能Gurkirat的隨機驗證碼“666666”,剛好對應到這200萬個用戶中的某一個或者某幾個,進而借由此驗證碼重置密碼,進而取得你的Facebook帳號權限。
其實早在2016年5月,Gurkirat就曾向Facebook團隊提交過此漏洞,不過當時Facebook方面認為漏洞復現成本過高,有些難以實現,直至Gurkirat利用上述流程復現了漏洞。Facebook團隊確認了該漏洞并發布了補丁,而Gurkirat本人也被授予了500$的漏洞發現獎勵。
3
如何保護的facebook帳號安全
為了避免已經被發現,和尚未被發現漏洞對用戶的帳號再次造成影響,推薦用戶使用下列方法提高賬戶安全:
添加二次驗證:如果有人使用新的設備或者在新的頁面登錄你的Facebook帳號時,你帳號所綁定的手機會收到6位驗證碼短信,為你的登錄添加了二次保障。
啟用登錄預警:當有人試圖遠程訪問你的帳號時,Facebook會以短信或者電子郵件的方式向你發送提醒,如果這可能是一條未經授權的訪問,你可以通過郵件中的鏈接,終止此次訪問。
使用密碼管理軟件:“弱口令”一直是密碼泄漏原因中最為常見的一種。?針對不同帳號,使用復雜強密碼,有利于保障你的帳號安全。而使用密碼管理軟件,既方便你記憶和使用強密碼,也有助于保護帳號安全。目前比較知名的國外密碼管理軟件有,one Password、LastPass、KeyPass等等。
4
美元挺貴的,這么大把大把的真金白銀損失了也很心疼,小心一點,麻煩一點總比丟了強。
END
做一個不斷成長的公眾號
我在這里等你,一起成長,一起學習。
我就知道你“在看”
作者:小馬哥 來源:小馬哥
本文為作者獨立觀點,不代表出海筆記立場,如若轉載請聯系原作者。
