V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
baskice
V2EX  ›  问与答

开启了 IMAP 功能能被拦截? instagram 到底是如何被大批量偷号的?

  •  
  •   baskice · 2017-09-05 00:38:36 +08:00 · 1589 次点击
    这是一个创建于 2641 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我在煎蛋看到有人说:

    …… instagram 的账号保护系统是我看见过最蠢的,简直是为黑客量身定制。首先用一个用户名(公开的)登陆,点忘记密码,然后就获得了该用户的登陆邮箱地址,同时有一封改密码邮件发到该邮箱。如果该邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件。接下来你就可以改密码,改绑定邮箱,该过程完全不通知原账户的绑定邮箱。……

    http://jandan.net/2017/09/04/instagram-hack.html

    这里 [邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件] 是怎么做到的?单纯开 IMAP 不至于被偷邮件吧???
    6 条回复    2017-09-05 13:08:32 +08:00
    autoxbc
        1
    autoxbc  
       2017-09-05 00:50:50 +08:00
    他那个表述模糊不清,感觉也不专业
    mornlight
        2
    mornlight  
       2017-09-05 01:00:24 +08:00
    oott123
        3
    oott123  
       2017-09-05 08:42:50 +08:00 via Android
    我猜他的意思是不应该把特定用户的邮箱轻易展示给随机人员。
    tony1016
        4
    tony1016  
       2017-09-05 09:34:27 +08:00
    是有这种可能的。如果用户邮箱的 imap 服务并没有使用 starttls 的话,确实是明文传递信息的。如果在特定的局域网条件下,是可以通过截取明文获取信息的。
    如果我的推测是可行的,那么,@mornlight 君,你是啥表情??
    mornlight
        5
    mornlight  
       2017-09-05 11:06:59 +08:00
    @tony1016 #4 所以未加密的 IMAP 理论上可以被嗅探到邮件内容,是不是 Instagram 的问题呢。

    「如果该邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件」

    最关键的一个步骤讲不清楚,一笔带过,这段话就是不懂装懂。
    tony1016
        6
    tony1016  
       2017-09-05 13:08:32 +08:00
    @mornlight 可是,你看完这篇报道,关键问题也明白了,这不就很好了嘛。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3584 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:36 · PVG 12:36 · LAX 20:36 · JFK 23:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.