Gurkirat Singh, một tin tặc mũ trắng đến từ Mỹ đã bật mý cách gian lận nhiều tài khoản Facebook chỉ cách vài kĩ năng IT cơ bản.
Bạn đang xem: Dò pass facebook người khác
Sự thật là dù cho có cài mật khẩu phức hợp hay thêm bao nhiêu lớp bảo mật đi chăng nữa thì Facebook của chúng ta vẫn vẫn có nguy cơ tiềm ẩn bị hack. New đây, Gurkirat Singh, một tin tặc mũ trắng đến từ Mỹ đã bật mí cách mod nhiều thông tin tài khoản Facebook chưa đến vài tài năng IT cơ bản.
Cụ thể là Gurkirat vẫn phát chỉ ra một lỗ hổng bảo mật thông tin có thể chất nhận được hacker xâm nhập vào thông tin tài khoản nạn nhân ngay lập tức qua phương pháp reset password của Facebook. Một khi đã truy vấn được vào thông tin tài khoản của bạn, hắn hoàn toàn có thể xem tất cả tin nhắn, thông tin giao dịch thanh toán và làm bất cứ tác vụ như thế nào khác.
Thủ thuật tiến công cũng rất là đơn giản, tuy nhiên tiến hành cũng cần phải chút nỗ lực.
Mấu chốt của nó chủ yếu là phương thức Facebook được cho phép bạn reset mật khẩu. Mỗi khi chúng ta quên mật khẩu và yêu ước reset, social này sẽ áp dụng một thuật toán auto phát sinh một quãng mã thốt nhiên 6 chữ số (với 10^6 = 1.000.000 khả năng phối kết hợp khác nhau). Mã này sẽ không biến hóa cho đến lúc được chúng ta sử dụng.
Gurkirat đến biết:“Điều này có nghĩa là nếu 1 triệu tình nhân cầu reset password chỉ trong một khoảng thời gian ngắn không ai kịp cần sử dụng đoạn mã xác nhận 6 số của bản thân để reset password thì tín đồ thứ 1.000.001 yêu mong reset sẽ nhận thấy đoạn mã trùng cùng với một tín đồ nào đó trong số còn lại.”
Làm nạm nào nhằm hack được không ít tài khoản Facebook?
Gurkirat đã thu thập hàng loạt ID Facebook đã sử dụng bằng cách truy xuất Facebook Graph API (được hiểu là 1 trong những dạng thứ thị xóm hội chứa những chủ thể như fan dùng, page,… và mọi mối links giữa họ), ban đầu từ số 100.000.000.000.000 vì ID Facebook vẫn là một dãy 15 chữ số. Sau đó, anh truy cập vàowww.facebook.com/
Sau lúc nhập ID người tiêu dùng vào sauwww.facebook.com/, đường link sẽ được chuyển làn và phần ID sẽ tự động được thay đổi về username của người tiêu dùng Facebook. Bằng phương pháp này, Gurkirat rất có thể kiếm được một list 2 triệu username người tiêu dùng đang vận động Facebook.
Ví dụ sau khoản thời gian nhập dãy ID người dùng như cụ này:
URL sẽ tự động hóa chuyển về trang profile của bạn đó như sau:
Sử dụng một đoạn script với hàng nghìn proxy và user-agent, Gurkirat có thể dễ dàng sinh sản lập 2 triệu yêu ước reset đồng thời từ 2 triệu người dùng trong danh sách thu thập được làm việc trên. Như vậy, với mỗi yêu mong reset, Gurkirat lại đem được một đoạn mã 6 chữ số giống nhau với một bạn nào kia khác, sử dụng hết 1.000.000 cách phối hợp 6 chữ số này.
Sau đó, anh chọn bất chợt một đoạn mã 6 bất kỳ, ví dụ như 338625, rồi ban đầu quá trình reset mật khẩu bởi một đoạn script khác cho list 2 triệu người tiêu dùng này. Cuối cùng, nếu như Gurkirat áp dụng mã 6 số bất kỳ kia gõ reset mật khẩu thông tin tài khoản một bạn ngẫu nhiên trong list được Facebook gán mang lại đúng đoạn mã 338625 kia thì trọn vẹn có khả năng chiếm hữu được tài khoản của nạn nhân.
Anh đã tiến hành việc này một số lần và sau cuối cũng kiếm được một mã reset 6 chữ số để chiếm được tài khoản của một người tiêu dùng nào đó.
Mặc cho dù Facebook sẽ vá lỗ hổng cơ và tặng kèm thưởng Gurkirat 500 USD dẫu vậy anh tin rằng giải pháp vá này vẫn không đủ dũng mạnh để che được nó.
“Tôi thiết yếu nào tưởng tượng được một tập đoàn như Facebook lại hoàn toàn có thể dễ bị tiến công đến thế. Facebook báo cùng với tôi rằng họ đang vá lỗ hổng này cùng thắt chặt kiểm soát và điều hành các địa chỉ cửa hàng IP, thế tuy vậy với lượng IP vĩ đại như vậy, tôi vẫn nghi hoặc không vững chắc liệu thủ tục họ làm tất cả thực sự kết quả hay không.”
Tuy nhiên, Facebook vẫn trao cho bạn một lớp đảm bảo an toàn nữa để bảo vệ tài khoản khỏi hồ hết vụ tấn công như vậy.
Dưới đây là một số cách bảo vệ tài khoản Facebook của bạn:
-Kích hoạt Login Approvalsđể ngăn chặn người khác truy cập tài khoản của công ty từ một thiết bị không được cấp quyền. Bằng cách bật nhân tài Login Approvals, Facebook đang gửi các bạn một đoạn mã OTP 6 chữ số qua SMS (đến số điện thoại cảm ứng bạn vẫn đăng ký). Như vậy, giả dụ ai kia đang nỗ lực truy cập tài khoản của chúng ta từ một sản phẩm mới, bạn cũng sẽ nhận được đoạn mã OTP báo hiệu.
-Kích hoạt Login Notification Alert:Facebook cũng cung ứng một tính năng bảo mật thông tin khác là Login Alerts. Login Alerts đã gửi cho mình một e-mail hoặc tin nhắn SMS mỗi một khi nó nghi vấn có người khác đang truy cập vào tài khoản của ban.
Nếu lượng truy vấn đó và đúng là từ thiết bị lạ bạn không biết, bạn chỉ việc làm theo quá trình hướng dẫn trong e-mail gửi mang lại để loại bỏ hóa quyền truy vấn từ thứ đó.
-Sử dụng phần mềm thống trị password: Lời khuyên để giữ mật khẩu to gan cho tất cả các tài khoản online mà không cần phải nhớ hết chúng là sử dụng những phần mềm quản lý password. Những phần mềm cai quản password sẽ đưa ra những mật khẩu phức tạp, ko trùng lặp mang lại từng tài khoản của công ty rồi tàng trữ chúng bên dưới dạng tệp tin mã hóa được bảo vệ an ninh khỏi cả các kẻ truy vấn được vào điện thoại hay PC của bạn.
File mã hóa đó chỉ có thể truy cập được vào bởi một mật khẩu chủ (master passworrd). Chính vì vậy toàn bộ những gì bạn cần làm là nhớ password chủ của bản thân mình để mở được những phần mềm làm chủ mật khẩu.
