脸书漏洞!骇客教你十秒破解别人发文权限、改密码也没用
脸书被爆出严重资安漏洞!有民众在测试脸书功能时意外发现,只要借用别人的电脑「20秒」,就可以永久取得这个人的脸书发文权限;更可怕的是,就算你修改密码、使用两阶段验证保密功能也没用。听起来很厉害,但是操作起来一点也不困难,完全不需要会程式语言;因为这是脸书自己开的「后门」,根本无从防范。
日前曾经抓到脸书漏洞、删除FB创办人祖克伯贴文的网友「张启元」,这回又有新发现了。只要你有经营粉丝团、或是开设一个新粉丝团,电脑被别人使用几秒钟,就有可能「永久被破解发文权限」,还无法补救。换句话说,他可以随时随地用你的帐号发言,不需要经过你的同意。
记者实际按照张启元的教学去做,发现真的行得通:
第一步、打开一个有管理权限的粉丝团。如果没有,就创立一个。
第二步、点击上方的「设定」。
第三步、点一下「手机版」按钮,然后选择右上角的「了解更多」。
第四步、按「传电邮发送给我」。
第五步、按「发送到我的手机」。
第六步、你会发现,这里的手机号码居然是开放的! (换句话说,你可以输入任何人的手机号码,将这段专门用来发文的邮件地址送过去。这边是脸书设计中最不合理的部份;而且不是发在粉丝团上,而是管理员涂鸦墙上。)
第七步、手机收到简讯后,将这个邮件地址复制下来。 (与粉丝团的不同)
第八步、寄信过去!你会发现,你可以透过E-mail随时随地帮这个帐号发文了。
这个功能原来是脸书设计给那些「无法安装Facebook App」的民众使用,随时随地透过E-mail也可以发文;但是却留下一个严重的隐患:这段私人邮件地址,居然可以传送给「任何人」。正常来说,应该要锁定在帐号使用者本人才对。另外,原本应该是用来发「粉丝团」贴文的功能,最后却变成发在管理员自己的涂鸦墙上,这边也十分不合常理。
更尴尬的是,一旦你的帐号「发文专用电子邮件」被泄漏出去,就算你修改脸书密码,似乎也没有帮助;点击「刷新电邮地址」,却只能刷新粉丝团的邮件地址,无法刷新个人页面的邮件地址。记者询问张启元,他表示2013年取得的「发文电子邮件」,到现在依旧可以使用。换句话说,这组电子邮件也并不会随着时间的流逝而改变。
至于民众该如何防范?很遗憾,除了离开座位时将电脑用密码锁上、或登出脸书帐号,似乎没有安全的防范方式。这情况很类似你的密码都以「明码」公布,人家只要记得了,你就麻烦了。更何况,还能传到别人的手机里。在公共场合使用脸书的民众,更需要小心!目前这个漏洞依旧存在,希望脸书能尽快修复。当然,最好的防范办法,或许是不要得罪你周遭的人。