臉書現嚴重資安漏洞!十秒破解別人發文權限、改密碼也沒用

  • 本文為「名家專欄」授權文章及圖片,以上言論及圖片不代表本台立場
  • 按此投稿
記者黃郁棋/綜合報導 
 
臉書被爆出嚴重資安漏洞!有民眾在測試臉書功能時意外發現,只要借用別人的電腦「20秒」,就可以永久取得這個人的臉書發文權限;更可怕的是,就算你修改密碼、使用兩階段驗證保密功能也沒用。聽起來很厲害,但是操作起來一點也不困難,完全不需要會程式語言;因為這是臉書自己開的「後門」,根本無從防範。
 

日前曾經抓到臉書漏洞、刪除FB創辦人祖克伯貼文的網友「張啟元」,這回又有新發現了。只要你有經營粉絲團、或是開設一個新粉絲團,電腦被別人使用幾秒鐘,就有可能「永久被破解發文權限」,還無法補救。換句話說,他可以隨時隨地用你的帳號發言,不需要經過你的同意。
 
記者實際按照張啟元的教學去做,發現真的行得通:
 
   第一步、打開一個有管理權限的粉絲團。如果沒有,就創立一個。
 
臉書漏洞
 
   第二步、點擊上方的「設定」。
 
臉書漏洞
 
   第三步、點一下「手機版」按鈕,然後選擇右上角的「了解更多」。
 
臉書漏洞
 
   第四步、按「傳電郵發送給我」。
 
臉書漏洞
 
   第五步、按「發送到我的手機」。
 
臉書漏洞
 
   第六步、你會發現,這裡的手機號碼居然是開放的!換句話說,你可以輸入任何人的手機號碼,將這段專門用來發文的郵件地址送過去。這邊是臉書設計中最不合理的部份;而且不是發在粉絲團上,而是管理員塗鴉墻上。)
 
臉書漏洞臉書漏洞
 
   第七步、手機收到簡訊後,將這個郵件地址複製下來。(與粉絲團的不同)
 
   第八步、寄信過去!你會發現,你可以透過E-mail隨時隨地幫這個帳號發文了。
 
 
 
這個功能原來是臉書設計給那些「無法安裝Facebook App」的民眾使用,隨時隨地透過E-mail也可以發文;但是卻留下一個嚴重的隱患:這段私人郵件地址,居然可以傳送給「任何人」。正常來說,應該要鎖定在帳號使用者本人才對。另外,原本應該是用來發「粉絲團」貼文的功能,最後卻變成發在管理員自己的塗鴉墻上,這邊也十分不合常理。
 
更尷尬的是,一旦你的帳號「發文專用電子郵件」被洩漏出去,就算你修改臉書密碼,似乎也沒有幫助;點擊「刷新電郵地址」,卻只能刷新粉絲團的郵件地址,無法刷新個人頁面的郵件地址。記者詢問張啟元,他表示2013年取得的「發文電子郵件」,到現在依舊可以使用。換句話說,這組電子郵件也並不會隨著時間的流逝而改變。
 
至於民眾該如何防範?很遺憾,除了離開座位時將電腦用密碼鎖上、或登出臉書帳號,似乎沒有安全的防範方式。這情況很類似你的密碼都以「明碼」公佈,人家只要記得了,你就麻煩了。更何況,還能傳到別人的手機裡。在公共場合使用臉書的民眾,更需要小心!目前這個漏洞依舊存在,希望臉書能儘快修復。當然,最好的防範辦法,或許是不要得罪你周遭的人。
 
更新:有朋友反應,那組郵件其實是可以刷新的!(當然前提是使用者知道如何刷新)
 
更新二:很多人還是沒看懂,到底「洞」在哪裡?

一、這個問題在於,這功能原本是給粉絲團發文用的,但是不知道為什麼,傳送到「手機」的卻變成管理員「個人」發文。
 
二、可以刷新的電郵,只有粉絲團的專用信箱;這個「個人發文」的信箱,找不到地方刷新,好像也關不掉,就算移除手機綁定也沒用。
 
三、沒用粉絲團的人,花十秒鐘創立一個新的即可。
 
四、凡事總有意外,一般人用了你的電腦,頂多幫你發一次文,不會「永久」都能幫你發,而且你還無法奪回權限,改密碼、刪除手機號碼綁定也沒用,沒地方刷新、也不知道如何關掉。

   歡迎加入逗比叔叔粉絲團,我沒有逼你哦。只要有心,人人都可以是逗比。

CH54三立新聞台直播
大數據推薦
熱銷商品
頻道推薦
直播✦活動
三立新聞網三立新聞網為了提供更好的閱讀內容,我們使用相關網站技術來改善使用者體驗,也尊重用戶的隱私權,特別提出聲明。
了解最新隱私權聲明