Facebook 在全球使用人數屢屢創新高時,對於資訊安全議題將越來越重要(圖片來源/美聯)
面對網路世界中的各項帳號密碼,總是會有記不住的時候,這時「忘記密碼」這個功能便讓使用者再度使用這些網路服務,但是「忘記密碼」接下來的步驟,卻有可能讓其他有心人士取得帳號控制權,反倒讓自己的網路帳號身陷危險之中。
在忘記密碼後,通常會輸入帳號電子郵件或手機號碼,讓系統判別後進入新密碼設定
這個情況就發生在全球最大的社群服務廠商 Facebook 身上,根據國外科技網站《ZDNet》報導,印度的安全研究人員 Anand Prakash 在上個月 22 日發現了一個臉書在安全性上的漏洞,在登入時按下「忘記密碼?」的選項,使用者會以輸入電話號碼或是註冊 E-Mail 認證的形式重新取回密碼,但 Anand Prakash 在短時間內在 Facebook 測試頁面(beta.facebook.com 和 mbasic.beta.facebook.com),進行大量的反覆內容輸入攻擊(這些測試頁面沒有正式版網站般具有嘗試次數限制),就可以重置該帳號的密碼並且取得帳號裡面的所有內容,而且跟正式網站內的相同),這也代表駭客可以透過這個方式,盜取 Facebook 使用者的帳號進行非法行為。
Anand Prakash 在發現這個漏洞時便很快地對 Facebook 提出警告,Facebook 安全小組已經對此漏洞進行修復,並且提供高達 1 萬 5000 美元獎金給發現漏洞的 Anand Prakash,感謝他對於 Facebook 帳號安全的貢獻!