据悉,通过这个漏洞,黑客“不需要密码就能够访问你的账户,并且可以让你永远登录不了你的账户。”
这个漏洞是18岁的詹姆斯·马丁代尔(James Martindale)发现的。当时,他在自己手机上插入了一张新的SIM卡。结果,他很快接到了Facebook发来的一条信息说,他“已有一段时间没有登录他的Facebook账号了”,而实际的情况是他从来没有将这个新的手机号与他的Facebook账号绑定。
然后,他在Facebook上搜索了这个手机号,结果出现了一个与它绑定的账号。
马丁代尔试图用这个手机号当做用户名来登录这个账号,然后输入随机的密码,结果失败了,因为他输入的密码显示是错误的。
于是,他点击了“忘掉密码”选项,试图恢复他的账号。结果也失败了。
然后,他通过搜索发现了很多找回账号的选项。“其中一个选项是Facebook发送密码重置的代码到马丁代尔试图用来登录这个账号的手机号码上。”在选择这个选项后,他很快就收到了代码,并成功登录到了这个人的账户中。
“然后,Facebook给了他修改密码的选择。这个密码一旦被修改,这个账号的真正主人可能就会被锁在外面,再也登录不进来了。如果你不改动密码,那么这个账号的主人将永远不知道他的账号已被入侵。”
马丁代尔用同样的方法测试了另一个新的手机号,结果一样。但是,当马丁代尔向Facebook汇报这个漏洞的时候,他得到的回复却是这样的:
“很多时候,人们的手机号码会过期或被提供给了别人。如果一个手机号码有了一个新的主人,他们用它来登录Facebook,就可能会触发Facebook密码重置功能。如果这个手机号仍然与某个用户的Facebook账号绑定,那么这个手机号的新主人就可能占有那个用户的Facebook账号。”
“虽然这是一个问题,但是它并不属于捉虫赏金计划中可以获得奖励的漏洞。电信公司重新发放手机号码,或用户用来绑定Facebook账号的手机号码已不再属于自己,Facebook对此是无能为力的。”
