Gurkirat Singh, một hacker nón White tới từ Mỹ tiếp tục bật mí cơ hội hack nhiều thông tin tài khoản Facebook chỉ với vài ba tài năng IT cơ phiên bản.
Sự thiệt là mặc dù có chuyên chở mật khẩu đăng nhập phức tạp hoặc tăng từng nào lớp bảo mật thông tin lên đường chăng nữa thì Facebook của doanh nghiệp vẫn sẽ sở hữu được nguy cơ tiềm ẩn bị hack. Mới trên đây, Gurkirat Singh, một hacker nón White tới từ Mỹ tiếp tục bật mí cơ hội hack nhiều thông tin tài khoản Facebook chỉ với vài ba tài năng IT cơ phiên bản.
Bạn đang xem: cách hack fb người khác
Cụ thể là Gurkirat tiếp tục vạc sinh ra một lỗ hổng bảo mật thông tin hoàn toàn có thể được chấp nhận hacker xâm nhập vô thông tin tài khoản nàn nhân ngay lập tức qua loa cách thức reset mật khẩu đăng nhập của Facebook. Một khi tiếp tục truy vấn được vô thông tin tài khoản của doanh nghiệp, hắn hoàn toàn có thể coi toàn bộ lời nhắn, vấn đề thanh toán và thực hiện bất kể tác vụ này không giống.
Thủ thuật tiến công cũng rất là giản dị và đơn giản, tuy nhiên tổ chức cũng cần được chút nỗ lực.
Mấu chốt của chính nó đó là phương pháp Facebook được chấp nhận các bạn reset mật khẩu đăng nhập. Mỗi khi chúng ta quên mật khẩu đăng nhập và đòi hỏi reset, social này tiếp tục dùng một thuật toán tự động hóa đột biến một quãng mã tình cờ 6 chữ số (với 10^6 = một triệu kỹ năng phối kết hợp không giống nhau). Mã này sẽ không còn thay cho thay đổi cho tới khi được các bạn dùng.
Gurkirat cho tới biết: “Điều này Có nghĩa là nếu như 1 triệu tình nhân cầu reset password chỉ vô một khoảng tầm thời hạn ngắn ngủn không có bất kì ai kịp người sử dụng đoạn mã xác nhận 6 số của tớ nhằm reset password thì người loại 1.000.001 đòi hỏi reset tiếp tục sẽ có được đoạn mã trùng với cùng một người này ê vô số sót lại.”
Làm thế này nhằm hack được rất nhiều thông tin tài khoản Facebook?
Gurkirat tiếp tục tích lũy một loạt ID Facebook đang được dùng bằng phương pháp truy xuất Facebook Graph API (được hiểu là 1 dạng vật thị xã hội chứa chấp những cửa hàng như người tiêu dùng, page,… và những ông tơ link thân ái họ), chính thức kể từ số 100.000.000.000.000 bởi ID Facebook vẫn là một mặt hàng 15 chữ số. Sau ê, anh truy vấn vào www.facebook.com/[ID] với từng [ID] được thay cho bởi mặt hàng ID người tiêu dùng đang được dùng Facebook.
Sau khi nhập ID người tiêu dùng vô sau www.facebook.com/, đàng links sẽ tiến hành chuyển qua làn đường khác và phần ID tiếp tục tự động hóa được thay đổi về username của người tiêu dùng Facebook. bằng phẳng phương pháp này, Gurkirat hoàn toàn có thể tìm được một list 2 triệu username người tiêu dùng đang được sinh hoạt Facebook.
Ví dụ sau khoản thời gian nhập mặt hàng ID người tiêu dùng như vậy này:
URL tiếp tục tự động hóa trả về trang profile của những người ê như sau:
Xem thêm: lỗi k gửi được tin nhắn
Trên blog cá thể, anh cho tới biết: “Tôi sở hữu báo lỗi này cho tới Facebook vô 3/3/2016 tuy nhiên doanh nghiệp lại ko tin yêu rằng một cuộc tiến công bên trên diện rộng lớn như thế hoàn toàn có thể xẩy ra. Họ mong muốn thấy minh chứng. Chính vậy nên tuy nhiên tôi dành riêng ngay sát 1 mon học tập và kiến thiết hạ tầng nhắm vô 2 triệu người tiêu dùng Facebook rồi gửi lại lỗi này cho tới bọn họ. Đến thời điểm hiện tại thì Facebook buộc nên thừa nhận trên đây thực sự là yếu tố nguy hiểm.”
Sử dụng một quãng script với hàng nghìn proxy và user-agent, Gurkirat hoàn toàn có thể đơn giản tạo nên lập 2 triệu đòi hỏi reset đồng thời kể từ 2 triệu người tiêu dùng vô list tích lũy được phía trên. Như vậy, với từng đòi hỏi reset, Gurkirat lại lấy được một quãng mã 6 chữ số trùng lặp với cùng một người này ê không giống, dùng không còn một triệu cơ hội phối kết hợp 6 chữ số này.
Sau ê, anh lựa chọn tình cờ một quãng mã 6 ngẫu nhiên, ví dụ như 338625, rồi chính thức quy trình reset mật khẩu đăng nhập bởi một quãng script không giống cho tới list 2 triệu người tiêu dùng này. Cuối nằm trong, nếu như Gurkirat dùng mã 6 số ngẫu nhiên ê gõ reset mật khẩu đăng nhập thông tin tài khoản một người tình cờ vô list được Facebook gán cho tới trúng đoạn mã 338625 ê thì trọn vẹn sở hữu kỹ năng chiếm lĩnh được thông tin tài khoản của nàn nhân.
Anh tiếp tục tiến hành việc này một vài lượt và sau cuối cũng tìm kiếm ra một mã reset 6 chữ số nhằm cướp được thông tin tài khoản của một người tiêu dùng này ê.
Mặc mặc dù Facebook tiếp tục vá lỗ hổng ê và ban tặng Gurkirat 500 USD tuy nhiên anh tin yêu rằng cơ hội vá này vẫn ko đầy đủ mạnh nhằm lấp được nó.
“Tôi ko thể này tưởng tượng được một tập đoàn như Facebook lại hoàn toàn có thể dễ dẫn đến tiến công cho tới thế. Facebook báo với tôi rằng bọn họ tiếp tục vá lỗ hổng này và thắt chặt trấn áp những vị trí IP, thế tuy nhiên với lượng IP to đùng như thế, tôi vẫn ngờ vực ko cứng cáp liệu công thức bọn họ thực hiện sở hữu thực sự hiệu suất cao hay là không.”
Tuy nhiên, Facebook vẫn trao cho mình một tấm đảm bảo an toàn nữa nhằm đảm bảo an toàn thông tin tài khoản ngoài những vụ tiến công như thế.
Dưới đó là một vài cơ hội đảm bảo an toàn thông tin tài khoản Facebook của bạn:
- Kích hoạt Login Approvals để ngăn ngừa người không giống truy vấn thông tin tài khoản của doanh nghiệp từ là 1 tranh bị không được cung cấp quyền. bằng phẳng cơ hội nhảy tác dụng Login Approvals, Facebook tiếp tục gửi các bạn một quãng mã OTP 6 chữ số qua loa SMS (đến số điện thoại cảm ứng thông minh các bạn tiếp tục đăng ký). Như vậy, nếu như ai ê đang được nỗ lực truy vấn thông tin tài khoản của doanh nghiệp từ là 1 tranh bị mới nhất, các bạn cũng tiếp tục sẽ có được đoạn mã OTP báo hiệu.
- Kích hoạt Login Notification Alert: Facebook cũng cung ứng một tác dụng bảo mật thông tin không giống là Login Alerts. Login Alerts tiếp tục gửi cho mình một gmail hoặc lời nhắn SMS mỗi một khi nó ngờ vực sở hữu người không giống đang được truy vấn vô thông tin tài khoản của ban.
Nếu lượt truy vấn ê thực sự kể từ tranh bị kỳ lạ các bạn ko biết, các bạn chỉ việc tuân theo công việc chỉ dẫn vô gmail gửi cho tới nhằm vô hiệu hóa quyền truy vấn kể từ tranh bị ê.
Xem thêm: khóa tài khoản ngân hàng
- Sử dụng ứng dụng vận hành password: Lời khuyên răn để giữ lại mật khẩu đăng nhập mạnh cho tới toàn bộ những thông tin tài khoản online tuy nhiên không cần thiết phải ghi nhớ không còn bọn chúng là dùng những ứng dụng vận hành password. Các ứng dụng vận hành password tiếp tục thể hiện những mật khẩu đăng nhập phức tạp, ko trùng lặp cho tới từng thông tin tài khoản của doanh nghiệp rồi tàng trữ bọn chúng bên dưới dạng tệp tin mã hóa được đảm bảo an toàn an toàn và đáng tin cậy ngoài cả những kẻ truy vấn được vô điện thoại cảm ứng thông minh hoặc PC của doanh nghiệp.
File mã hóa ê chỉ hoàn toàn có thể truy vấn được vô bởi một mật khẩu đăng nhập công ty (master passworrd). Chính vậy nên toàn bộ những gì bạn phải thực hiện là ghi nhớ mật khẩu đăng nhập công ty của tớ nhằm há được những ứng dụng vận hành mật khẩu đăng nhập.
Phần mượt Password khuyên răn dùng: Password Manager của hãng sản xuất bảo mật thông tin Trend Micro.
Bình luận