居安思危,思則有備,有備無患。
五月份的時(shí)候分享過一篇文章《我是如何繞過Google和Facebook等大網(wǎng)站的兩步驗(yàn)證的》,當(dāng)時(shí)因?yàn)榭吹接腥苏fFacebook賬戶被盜了,損失了幾萬美金最后不了了之的事情,代理商同學(xué)也讓大家打開雙重驗(yàn)證,好像也都沒有引起足夠的重視,聽聞最近又有某家因?yàn)橘~戶被盜,隨時(shí)還挺大(事情已經(jīng)過去了一段時(shí)間,因?yàn)閼芯蜎]有就這件事寫一寫東西)。
還是分享很古早的一篇文章,這邊文章來源于16年,當(dāng)時(shí)就出現(xiàn)過類似的事情,奈何僥幸的人有很多,并不能引起人們足夠的重視,畢竟事情沒有發(fā)生在自己身上。
1
來自加利福利亞的 Gurkirat Singh曾經(jīng)發(fā)現(xiàn)一個(gè)存在于facebook密碼重置機(jī)制上的漏洞,能夠讓黑客完全獲得受害人Facebook上的賬戶權(quán)限。
國外的一位白帽子,向眾人證明了破解一個(gè)facebook帳號(hào)的可操作性,而且只需借助一些基礎(chǔ)的計(jì)算機(jī)技術(shù)就可能實(shí)現(xiàn)。不管帳號(hào)設(shè)置多么復(fù)雜的強(qiáng)密碼,或者采取了怎樣額外的安全措施,都有可能被破解。這并不是危言聳聽,存在于facebook密碼重置機(jī)制上的漏洞,能夠讓黑客完全獲得受害人Facebook上的賬戶權(quán)限。包括能看到你的聊天記錄,銀行卡支付記錄等等。
2
如何破解多個(gè)Facebook帳號(hào)
這種網(wǎng)絡(luò)攻擊的原理很簡單,但復(fù)現(xiàn)起來還是有一定難度。當(dāng)你試圖重置你的帳號(hào)密碼時(shí),你的Facebook會(huì)生成一個(gè)6位的隨機(jī)驗(yàn)證碼,以幫助你完成而密碼重置操作,而這樣的隨機(jī)驗(yàn)證碼組合會(huì)有10^6,也就是100萬種組合。
“那么就存在這樣一種可能性,如果有100萬用戶在短時(shí)間內(nèi),均提出了重置密碼的請(qǐng)求,并且暫未使用6位驗(yàn)證碼重置自己的密碼,那么接下來第100萬零1個(gè)用戶在發(fā)起重置密碼請(qǐng)求的時(shí)候,很可能會(huì)收到跟上一批次某個(gè)用戶相同的驗(yàn)證碼”
借由這個(gè)猜測,Gurkirat首先通過簡單的技術(shù)手段,收集到200萬個(gè)有效的Facebook用戶ID,使用代理服務(wù)器,實(shí)現(xiàn)在短時(shí)間內(nèi)模擬200萬個(gè)用戶同時(shí)發(fā)起密碼重置請(qǐng)求,目的是為了盡量窮盡6位驗(yàn)證碼所有的組合情況。之后,Gurkirat使用隨機(jī)的6位驗(yàn)證碼,例如666666,通過暴力破解的方式,對(duì)剛剛提出密碼重置需求的200個(gè)用戶,進(jìn)行驗(yàn)證,那么極有可能Gurkirat的隨機(jī)驗(yàn)證碼“666666”,剛好對(duì)應(yīng)到這200萬個(gè)用戶中的某一個(gè)或者某幾個(gè),進(jìn)而借由此驗(yàn)證碼重置密碼,進(jìn)而取得你的Facebook帳號(hào)權(quán)限。
其實(shí)早在2016年5月,Gurkirat就曾向Facebook團(tuán)隊(duì)提交過此漏洞,不過當(dāng)時(shí)Facebook方面認(rèn)為漏洞復(fù)現(xiàn)成本過高,有些難以實(shí)現(xiàn),直至Gurkirat利用上述流程復(fù)現(xiàn)了漏洞。Facebook團(tuán)隊(duì)確認(rèn)了該漏洞并發(fā)布了補(bǔ)丁,而Gurkirat本人也被授予了500$的漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)。
3
如何保護(hù)的facebook帳號(hào)安全
為了避免已經(jīng)被發(fā)現(xiàn),和尚未被發(fā)現(xiàn)漏洞對(duì)用戶的帳號(hào)再次造成影響,推薦用戶使用下列方法提高賬戶安全:
添加二次驗(yàn)證:如果有人使用新的設(shè)備或者在新的頁面登錄你的Facebook帳號(hào)時(shí),你帳號(hào)所綁定的手機(jī)會(huì)收到6位驗(yàn)證碼短信,為你的登錄添加了二次保障。
啟用登錄預(yù)警:當(dāng)有人試圖遠(yuǎn)程訪問你的帳號(hào)時(shí),F(xiàn)acebook會(huì)以短信或者電子郵件的方式向你發(fā)送提醒,如果這可能是一條未經(jīng)授權(quán)的訪問,你可以通過郵件中的鏈接,終止此次訪問。
使用密碼管理軟件:“弱口令”一直是密碼泄漏原因中最為常見的一種。?針對(duì)不同帳號(hào),使用復(fù)雜強(qiáng)密碼,有利于保障你的帳號(hào)安全。而使用密碼管理軟件,既方便你記憶和使用強(qiáng)密碼,也有助于保護(hù)帳號(hào)安全。目前比較知名的國外密碼管理軟件有,one Password、LastPass、KeyPass等等。
4
美元挺貴的,這么大把大把的真金白銀損失了也很心疼,小心一點(diǎn),麻煩一點(diǎn)總比丟了強(qiáng)。
END
做一個(gè)不斷成長的公眾號(hào)
我在這里等你,一起成長,一起學(xué)習(xí)。
我就知道你“在看”
作者:小馬哥 來源:小馬哥
本文為作者獨(dú)立觀點(diǎn),不代表出海筆記立場,如若轉(zhuǎn)載請(qǐng)聯(lián)系原作者。
