脸书漏洞！骇客教你十秒破解别人发文权限、改密码也没用

脸书被爆出严重资安漏洞！有民众在测试脸书功能时意外发现，只要借用别人的电脑「20秒」，就可以永久取得这个人的脸书发文权限；更可怕的是，就算你修改密码、使用两阶段验证保密功能也没用。听起来很厉害，但是操作起来一点也不困难，完全不需要会程式语言；因为这是脸书自己开的「后门」，根本无从防范。 日前曾经抓到脸书漏洞、删除FB创办人祖克伯贴文的网友「张启元」，这回又有新发现了。只要你有经营粉丝团、或是开设一个新粉丝团，电脑被别人使用几秒钟，就有可能「永久被破解发文权限」，还无法补救。换句话说，他可以随时随地用你的帐号发言，不需要经过你的同意。 http://www.youtube.com/watch?v=d11JQgdfgQA 记者实际按照张启元的教学去做，发现真的行得通：

第一步、打开一个有管理权限的粉丝团。如果没有，就创立一个。

第二步、点击上方的「设定」。

第三步、点一下「手机版」按钮，然后选择右上角的「了解更多」。

第四步、按「传电邮发送给我」。

第五步、按「发送到我的手机」。

第六步、你会发现，这里的手机号码居然是开放的！ （换句话说，你可以输入任何人的手机号码，将这段专门用来发文的邮件地址送过去。这边是脸书设计中最不合理的部份；而且不是发在粉丝团上，而是管理员涂鸦墙上。）

第七步、手机收到简讯后，将这个邮件地址复制下来。 （与粉丝团的不同）

第八步、寄信过去！你会发现，你可以透过E-mail随时随地帮这个帐号发文了。

这个功能原来是脸书设计给那些「无法安装Facebook App」的民众使用，随时随地透过E-mail也可以发文；但是却留下一个严重的隐患：这段私人邮件地址，居然可以传送给「任何人」。正常来说，应该要锁定在帐号使用者本人才对。另外，原本应该是用来发「粉丝团」贴文的功能，最后却变成发在管理员自己的涂鸦墙上，这边也十分不合常理。 更尴尬的是，一旦你的帐号「发文专用电子邮件」被泄漏出去，就算你修改脸书密码，似乎也没有帮助；点击「刷新电邮地址」，却只能刷新粉丝团的邮件地址，无法刷新个人页面的邮件地址。记者询问张启元，他表示2013年取得的「发文电子邮件」，到现在依旧可以使用。换句话说，这组电子邮件也并不会随着时间的流逝而改变。 至于民众该如何防范？很遗憾，除了离开座位时将电脑用密码锁上、或登出脸书帐号，似乎没有安全的防范方式。这情况很类似你的密码都以「明码」公布，人家只要记得了，你就麻烦了。更何况，还能传到别人的手机里。在公共场合使用脸书的民众，更需要小心！目前这个漏洞依旧存在，希望脸书能尽快修复。当然，最好的防范办法，或许是不要得罪你周遭的人。