黑客透露了他是如何入侵多个Facebook账户的

如何破解Facebook账户？

无论你的密码有多强，或者你采取了多少额外的安全措施，你的Facebook帐户都可能被黑客攻击。别开玩笑！

古吉拉特·辛格来自加利福尼亚州的黑客最近发现Facebook密码重置机制存在漏洞，黑客可以完全访问受害者的Facebook账户，允许他们查看信息对话和支付卡详细信息，发布任何信息，并做任何真正的账户持有人能做的事情。

攻击向量虽然简单，但执行相当困难。

Gurkirat（@GurkiratSpeca）说，问题实际上在于Facebook允许你重置密码的方式。社交网络使用一种算法生成一个随机的6位密码‒；这是10⁶；=1000000种可能的组合‒；直到“习惯”了才会改变(如果你向mbasic提出要求。脸谱网。通用域名格式).

"这可能意味着，如果100万人在短时间内请求密码，以至于没有人使用他们的代码重置密码，那么请求密码的1000001人将获得一个已分配给该批人员的密码，古吉拉特在一篇博客文章中解释道。

如何破解多个Facebook账户？

Gurkirat首先通过从1000000000000开始对Facebook Graph API进行查询来收集有效的Facebook ID，因为Facebook ID通常为15位数，然后访问www.Facebook.com/[身份证件]使用有效的ID号代替[ID]。
输入后，URL会自动重定向，并将Facebook ID更改为用户的用户名。通过这种方式，首先，他能够列出200万个有效的Facebook用户名。

“我第一次报告这个漏洞是在2016年5月3日，但Facebook不相信我会有如此大规模的处决。他们想要证据，”古吉拉特告诉《黑客新闻》。“所以我花了将近一个月的时间学习和构建基础设施，以200万Facebook用户为目标。然后我重新提交了这个漏洞，他们同意这确实是一个问题”。

然后使用一个脚本、数百个代理和随机用户代理，Gurkirat自动为这200万用户启动密码重置请求，每个用户都分配了一个6位数的密码重置代码，从而消耗了整个6位数范围。

然后，古吉拉特随机选择了一个6位数的数字，即338625，并对他列表中的所有用户名使用暴力强制脚本启动密码重置过程，希望这个数字是由Facebook分配给他200万用户名列表中的某个人的。
Gurkirat实际上执行了这项任务，并设法找到了正确的密码重置代码和用户名组合，使他能够重置密码并劫持一个随机用户的Facebook帐户。

另请阅读：如何仅仅通过知道某人的电话号码就入侵他们的Facebook账户。

尽管在Gurkirat报告后，Facebook已经修补了这个漏洞，并奖励了他500美元（略低于500美元），但Gurkirat怀疑这个补丁不是真的“强大到足以缓解这种脆弱性”。

Gurkirat告诉《黑客新闻》：“我从来没想过像Facebook这样大的公司会受到纯粹计算能力的影响。我发现的漏洞的功效正是基于这一点”。

“Facebook通知我，该补丁已经应用，并且他们已经开始对每个IP地址进行积极的限制。考虑到一个更大的IP地址池，可以模拟全球网络流量，再加上很少的社会工程，我仍然怀疑他们的补丁是否足够强大，足以缓解这一漏洞”。

然而，Facebook为您提供了额外的安全层，以保护您的帐户免受此类攻击。

以下是如何保护你的Facebook账户：

启用登录批准：建议用户启用“登录批准”作为额外的安全层，以防止其Facebook帐户遭受此类攻击。

在登录批准打开的情况下，如果有人试图从新的计算机或设备或其他网络浏览器登录您的Facebook帐户，Facebook将通过短信向您注册的手机发送一个6位数的安全代码。

因此，即使你的Facebook用户名和密码被攻击者输入，已经发送到你手机上的6位安全码仍然需要登录你的帐户，防止黑客访问你的帐户。

启用登录通知警报：Facebook还提供了一个安全功能“登录提醒”，当它怀疑未经授权的用户正在访问你的帐户时，会向你发送电子邮件或短信。

如果你的Facebook账户是从远程设备访问的，Facebook会向你发送电子邮件或短信提醒。如果这是未经授权的访问，您可以快速按照电子邮件中列出的步骤禁用对该设备的访问。

使用密码管理器：这是一个普遍的，必须做的建议，为每个在线帐户都有一个强大的，唯一的密码。我们列出了一些最好的密码管理器，可以帮助您了解密码管理器的重要性，并根据您的要求选择合适的密码管理器。