臉書修補危及11億用戶的密碼重設漏洞

william77

Facebook用戶忘記密碼時，可要求系統傳送一個6位數的號碼到手機或電子郵件帳號，以便重設新密碼。在Facebook.com上只允許10到12次的輸入錯誤，否則帳號便會被封鎖。但在一般臉書用戶也能使用的開發者專用beta.facebook.com、mbasic.beta.facebook.com兩個測試網站並無輸入錯誤的次數限制，駭客可以暴力方式破解更新密碼的6位數號碼，即可取得任何臉書用戶的帳號。

臉書（Facebook）近日修補了一個重大的安全漏洞，該漏洞允許駭客透過暴力破解重設臉書用戶的密碼，危及11億臉書用戶帳號安全。
這個漏洞是由印度資安研究人員Anand Prakash所發現的，並在今年2月下旬提交給臉書，臉書在隔天即完成修補，還頒發了1.5萬美元的抓漏獎金予Prakash。
Prakash本周公開了漏洞細節，指出Facebook有一個重設密碼的機制，當用戶忘記密碼時，可要求該機制傳送一個6位數的號碼到手機或電子郵件帳號，以便重設密碼。在Facebook.com上，為避免6位數號碼被破解，僅允許10到12次的輸入錯誤，否則帳號便會被封鎖。
然而，臉書所建置的beta.facebook.com及mbasic.beta.facebook.com兩個測試網站並無輸入錯誤的次數限制，這些網站主要供開發人員測試臉書的功能，但也允許一般用戶登入，因此，駭客可以經由這些測試網站暴力破解更新密碼的6位數號碼，即可取得任何臉書用戶的帳號。