2017-07-25

【關鍵評論】KaChun:一招盜取你Facebook 快改掉登入電話號碼 (1310)

一個18歲工程師意外發現,不需要是電腦高手,也能輕易盜取你的Facebook。他向Facebook匯報漏洞,但被回覆「無法解決」,只好用家提高警覺。

工程師James Martindale在網誌撰文,指自己買了一張新的SIM卡插入手機,卻接到了Facebook發來的一個信息,「已有一段時間沒有登錄Facebook帳號了」。奇怪的是,James沒有將自己的Facebook與此手機號碼連結。於是他用該電話號碼在Facebook搜索,發現了一個與它綁定的帳號。

James用手機號碼當做用戶名,隨便輸入密碼嘗試登錄,雖然登入失敗了,他卻可以要求Facebook發送登入代碼到那個新的手機號碼,再接收短信登錄,便成功了。

之後,Facebook還給了他修改密碼的選擇。如果James修改,帳號的真正主人就不能登入了;而James選擇一直用這個方法登入,這個帳號的主人將永遠不知道他的帳號已被入侵。

其後,James用同樣的方法測試了另一個新的手機號碼,結果一樣。

James將這個漏洞匯報給Facebook,Facebook認同這是一個問題,但認為電訊商將舊電話號碼重新使用,不是他們可以控制的事。Facebook又指這不是一個「程式錯誤」,所以不算入「漏洞回報獎勵計劃」之內,James不能拿到任何獎賞。

而James三個月之前通知Facebook這件事,但情況仍然持續。

只在美國發生嗎?

這漏洞源於James可以買到用於登入Facebook的舊電話號碼,但這只在外國發生嗎?

在香港,根據電訊管理局的《關於使用香港號碼計劃內的號碼和編碼的業務守則》,原來營辦商需於電話號碼停用6個月內,將之重新編配予新客戶使用。所以使用香港的電話號碼登入Facebook,都會有以上的風險。

雖然James公開了這個漏洞,或許會被一些心懷不軌的人利用,但他也提議了一些補救方法:

1) 不要再將舊電話號碼連結到Facebook(或其他社交媒體)

2) 設定雙重登入的保障

3) 接收不明登入的警告



原文連結



0 comments:

Post a Comment