[新闻] 脸书现严重资安漏洞!十秒破解别人发文权

楼主: GoogleDocs (Google文件)   2014-09-08 18:28:17
1.媒体来源:
三立
2.完整新闻标题/内文:
脸书现严重资安漏洞!十秒破解别人发文权限、改密码也没用
记者黄郁棋/综合报导
脸书被爆出严重资安漏洞!有民众在测试脸书功能时意外发现,只要借用别人的电脑“20
秒”,就可以永久取得这个人的脸书发文权限;更可怕的是,就算你修改密码、使用两阶
段验证保密功能也没用。听起来很厉害,但是操作起来一点也不困难,完全不需要会程式
语言;因为这是脸书自己开的“后门”,根本无从防范。
(教学影片)
日前曾经抓到脸书漏洞、删除FB创办人祖克伯贴文的网友“张启元”,这回又有新发现了
。只要你有经营粉丝团、或是开设一个新粉丝团,电脑被别人使用几秒钟,就有可能“永
久被破解发文权限”,还无法补救。换句话说,他可以随时随地用你的帐号发言,不需要
经过你的同意。
记者实际按照张启元的教学去做,发现真的行得通:
第一步、打开一个有管理权限的粉丝团。如果没有,就创立一个。
(教学图)
第二步、点击上方的“设定”。
(教学图)
第三步、点一下“手机版”按钮,然后选择右上角的“了解更多”。
(教学图)
第四步、按“传电邮发送给我”。
(教学图)
第五步、按“发送到我的手机”。
(教学图)
第六步、你会发现,这里的手机号码居然是开放的!(换句话说,你可以输入任何人
的手机号码,将这段专门用来发文的邮件地址送过去。这边是脸书设计中最不合理的部份
。)
(教学图)
第七步、手机收到短信后,将这个邮件地址复制下来。(与粉丝团的不同)
第八步、寄信过去!你会发现,你可以透过E-mail随时随地帮这个帐号发文了。
这个功能原来是脸书设计给那些“无法安装Facebook App”的民众使用,随时随地透过
E-mail也可以发文;但是却留下一个严重的隐患:这段私人邮件地址,居然可以传送给“
任何人”。正常来说,应该要锁定在帐号使用者本人才对。
更尴尬的是,一旦你的帐号“发文专用电子邮件”被泄漏出去,就算你修改脸书密码,似
乎也没有帮助。记者询问张启元,他表示2013年取得的“发文电子邮件”,到现在依旧可
以使用。换句话说,这组电子邮件也并不会随着时间的流逝而改变。
 
至于民众该如何防范?很遗憾,除了离开座位时将电脑用密码锁上、或登出脸书帐号,似
乎没有安全的防范方式。这情况很类似你的密码都以“明码”公布,人家只要记得了,你
就麻烦了。更何况,还能传到别人的手机里。在公共场合使用脸书的民众,更需要小心!
目前这个漏洞依旧存在,希望脸书能尽快修复。当然,最好的防范办法,或许是不要得罪
你周遭的人。
3.新闻连结:
http://www.setnews.net/ColumnNews.aspx?PageGroupID=9&NewsID=38760&PageType=12
4.备注:
下次帮正妹修电脑的时候...
作者: gino0717 (gino0717)   2014-09-08 18:29:00
宅宅想去偷窥啥,还是没女友啦
作者: cy4750 (CY)   2014-09-08 18:30:00
只会干这种无聊的事情
作者: HELLDIVER (Ζzz...)   2014-09-08 18:30:00
就说不要用什么非死不可不就得了?
作者: Mahoutsukai (魔法使い)   2014-09-08 18:31:00
可以在网咖玩
作者: jameshcm (亿载金城‧武)   2014-09-08 18:31:00
这种不算是漏洞,只能说是给方便却被有心人利用的后果
作者: HuangJC (吹笛牧童)   2014-09-08 18:31:00
可以帮别人说话没用啊,我是想偷亏对方的相簿
作者: dotZu (良牙)   2014-09-08 18:35:00
这哪叫漏洞啊?都已经直接使用该用户的电脑了
作者: abcd (ABCD)   2014-09-08 18:39:00
明明就可以刷新 那组邮件帐号
楼主: GoogleDocs (Google文件)   2014-09-08 18:40:00
你有办法用一次他的电脑,就知道他的密码吗?
作者: icps (虹月)   2014-09-08 18:40:00
可以阿........ 是有方法的
作者: zone0317 (哈哈你活该)   2014-09-08 18:41:00
都直接用对方电脑了叫漏洞?
作者: caesst85149 (cajhwunc)   2014-09-08 18:44:00
脸书这烂货不意外
作者: mmzznnxxbbcc (黄囧龙)   2014-09-08 18:46:00
这不是正常的申请电邮发文的验证流程吗?
作者: yumyun (马路)   2014-09-08 18:49:00
又是这个骇客
楼主: GoogleDocs (Google文件)   2014-09-08 18:51:00
应该锁定那个“短信”,限定寄给认证过的手机才对因为它可以寄给任何一支手机,又查不到寄给谁。
作者: yumyun (马路)   2014-09-08 18:52:00
我可以讲 很多网站都有这种功能 包括水管
作者: mori9455 (蓝色小精灵)   2014-09-08 18:54:00
还有人在用FB啊
作者: mrmowmow (mow)   2014-09-08 19:05:00
脸书最烂就是一定要用本名 用假名还要看你证件改成本名干 我是在用网络社群 还是线上户口名簿建档阿

Links booklink

Contact Us: admin [ a t ] ucptt.com