科技猎
我们都知道 Facebook 很乐意向那些报告漏洞的用户支付数额最少为500美元的奖金;但你知道吗?近日,英国一位名叫 Jack Whitton 的男子却因为发现了可能涉及数百万用户账户安全的问题而得到 Facebook 两万美元的重奖 。Jack 于上月23日发现了这个漏洞,然后将其报告给 Facebook;5天后,这个漏洞被修复完好。
不过,Whitton 仍在他自己的 博客 中点明了问题所在:
Facebook 允许你将自己的手机号码与账户绑定以在必要时进行登录验证,也就是说,你会在手机上收到短信——而不是电子邮件收到验证码——来验证身份。
该缺陷位于 /ajax/setting/mobile/confirm_phone.php 端点。尽管它需要不同的参数,但其中两个最主要的只是代码;而它们是通过手机接收的验证码以及与账户(profile_id)所连接的电话号码。最重要的是,虽然 profile_id 与你的账户进行了绑定,但糟糕地是,即便有人蓄意改变了它,Facebook 也不会触发错误。
换句话说,黑客可能会利用这个漏洞蒙蔽 Facebook 的短信验证系统,并得到验证码以重置该账户密码。不过,Facebook 在接收到 Jack 的报道后还是以飞快的速度处理了这个问题。
文章来源: TNW
标签: Facebook Jack Whitton