1.媒体来源:
三立
2.完整新闻标题/内文:
脸书现严重资安漏洞!十秒破解别人发文权限、改密码也没用
记者黄郁棋/综合报导
脸书被爆出严重资安漏洞!有民众在测试脸书功能时意外发现,只要借用别人的电脑“20
秒”,就可以永久取得这个人的脸书发文权限;更可怕的是,就算你修改密码、使用两阶
段验证保密功能也没用。听起来很厉害,但是操作起来一点也不困难,完全不需要会程式
语言;因为这是脸书自己开的“后门”,根本无从防范。
(教学影片)
日前曾经抓到脸书漏洞、删除FB创办人祖克伯贴文的网友“张启元”,这回又有新发现了
。只要你有经营粉丝团、或是开设一个新粉丝团,电脑被别人使用几秒钟,就有可能“永
久被破解发文权限”,还无法补救。换句话说,他可以随时随地用你的帐号发言,不需要
经过你的同意。
记者实际按照张启元的教学去做,发现真的行得通:
第一步、打开一个有管理权限的粉丝团。如果没有,就创立一个。
(教学图)
第二步、点击上方的“设定”。
(教学图)
第三步、点一下“手机版”按钮,然后选择右上角的“了解更多”。
(教学图)
第四步、按“传电邮发送给我”。
(教学图)
第五步、按“发送到我的手机”。
(教学图)
第六步、你会发现,这里的手机号码居然是开放的!(换句话说,你可以输入任何人
的手机号码,将这段专门用来发文的邮件地址送过去。这边是脸书设计中最不合理的部份
。)
(教学图)
第七步、手机收到短信后,将这个邮件地址复制下来。(与粉丝团的不同)
第八步、寄信过去!你会发现,你可以透过E-mail随时随地帮这个帐号发文了。
这个功能原来是脸书设计给那些“无法安装Facebook App”的民众使用,随时随地透过
E-mail也可以发文;但是却留下一个严重的隐患:这段私人邮件地址,居然可以传送给“
任何人”。正常来说,应该要锁定在帐号使用者本人才对。
更尴尬的是,一旦你的帐号“发文专用电子邮件”被泄漏出去,就算你修改脸书密码,似
乎也没有帮助。记者询问张启元,他表示2013年取得的“发文电子邮件”,到现在依旧可
以使用。换句话说,这组电子邮件也并不会随着时间的流逝而改变。
至于民众该如何防范?很遗憾,除了离开座位时将电脑用密码锁上、或登出脸书帐号,似
乎没有安全的防范方式。这情况很类似你的密码都以“明码”公布,人家只要记得了,你
就麻烦了。更何况,还能传到别人的手机里。在公共场合使用脸书的民众,更需要小心!
目前这个漏洞依旧存在,希望脸书能尽快修复。当然,最好的防范办法,或许是不要得罪
你周遭的人。
3.新闻连结:
http://www.setnews.net/ColumnNews.aspx?PageGroupID=9&NewsID=38760&PageType=12
4.备注:
下次帮正妹修电脑的时候...