記者黃郁棋/綜合報導
臉書被爆出嚴重資安漏洞!有民眾在測試臉書功能時意外發現,只要借用別人的電腦「20秒」,就可以永久取得這個人的臉書發文權限;更可怕的是,就算你修改密碼、使用兩階段驗證保密功能也沒用。聽起來很厲害,但是操作起來一點也不困難,完全不需要會程式語言;因為這是臉書自己開的「後門」,根本無從防範。
日前曾經抓到臉書漏洞、刪除FB創辦人祖克伯貼文的網友「張啟元」,這回又有新發現了。只要你有經營粉絲團、或是開設一個新粉絲團,電腦被別人使用幾秒鐘,就有可能「永久被破解發文權限」,還無法補救。換句話說,他可以隨時隨地用你的帳號發言,不需要經過你的同意。
記者實際按照張啟元的教學去做,發現真的行得通:
第一步、打開一個有管理權限的粉絲團。如果沒有,就創立一個。
第二步、點擊上方的「設定」。
第三步、點一下「手機版」按鈕,然後選擇右上角的「了解更多」。
第四步、按「傳電郵發送給我」。
第五步、按「發送到我的手機」。
第六步、你會發現,這裡的手機號碼居然是開放的!(換句話說,你可以輸入任何人的手機號碼,將這段專門用來發文的郵件地址送過去。這邊是臉書設計中最不合理的部份;而且不是發在粉絲團上,而是管理員塗鴉墻上。)
第七步、手機收到簡訊後,將這個郵件地址複製下來。(與粉絲團的不同)
第八步、寄信過去!你會發現,你可以透過E-mail隨時隨地幫這個帳號發文了。
這個功能原來是臉書設計給那些「無法安裝Facebook App」的民眾使用,隨時隨地透過E-mail也可以發文;但是卻留下一個嚴重的隱患:這段私人郵件地址,居然可以傳送給「任何人」。正常來說,應該要鎖定在帳號使用者本人才對。另外,原本應該是用來發「粉絲團」貼文的功能,最後卻變成發在管理員自己的塗鴉墻上,這邊也十分不合常理。
更尷尬的是,一旦你的帳號「發文專用電子郵件」被洩漏出去,就算你修改臉書密碼,似乎也沒有幫助;點擊「刷新電郵地址」,卻只能刷新粉絲團的郵件地址,無法刷新個人頁面的郵件地址。記者詢問張啟元,他表示2013年取得的「發文電子郵件」,到現在依舊可以使用。換句話說,這組電子郵件也並不會隨著時間的流逝而改變。
至於民眾該如何防範?很遺憾,除了離開座位時將電腦用密碼鎖上、或登出臉書帳號,似乎沒有安全的防範方式。這情況很類似你的密碼都以「明碼」公佈,人家只要記得了,你就麻煩了。更何況,還能傳到別人的手機裡。在公共場合使用臉書的民眾,更需要小心!目前這個漏洞依舊存在,希望臉書能儘快修復。當然,最好的防範辦法,或許是不要得罪你周遭的人。
更新:有朋友反應,那組郵件其實是可以刷新的!(當然前提是使用者知道如何刷新)
更新二:很多人還是沒看懂,到底「洞」在哪裡?
一、這個問題在於,這功能原本是給粉絲團發文用的,但是不知道為什麼,傳送到「手機」的卻變成管理員「個人」發文。
二、可以刷新的電郵,只有粉絲團的專用信箱;這個「個人發文」的信箱,找不到地方刷新,好像也關不掉,就算移除手機綁定也沒用。
三、沒用粉絲團的人,花十秒鐘創立一個新的即可。
四、凡事總有意外,一般人用了你的電腦,頂多幫你發一次文,不會「永久」都能幫你發,而且你還無法奪回權限,改密碼、刪除手機號碼綁定也沒用,沒地方刷新、也不知道如何關掉。
歡迎加入逗比叔叔粉絲團,我沒有逼你哦。只要有心,人人都可以是逗比。