こうやってたのか・・・・・パスワードリセットの６桁をブルートフォースか・・・

fossBytesに8月27日(米国時間)に掲載された記事「Hacker Tells How He Could've Hacked Tons Of Facebook Accounts Easily」が、研究者らがFacebookのパスワードリセットの仕組みを利用して簡単にアカウント乗っ取りが可能であることを示したと伝えた。
Facebookではパスワードなどを忘れた場合にパスワードリセットを行うことで、ユーザーに対して新しいパスワードを設定するように促すことができる。ただし、このパスワードリセットは正規のユーザーでなくても利用できてしまう。研究者らは200万のユーザーアカウントに対してパスワードリセットを要求。パスワードリセットを受けたユーザーには登録されたメールアドレスに数字6桁で構成された確認コードが送付されてくるが、この確認コードの組み合わせは100万通りしか存在しない。そのため、ユーザーがパスワードリセットのメールが送られてきたことに気がついて処理をするまえに、確認コードを全組み合わせて試せば乗っ取りを許してしまうことになる。

大量のFacebookアカウントを乗っ取る方法が明らかに | マイナビニュース