开启了 IMAP 功能能被拦截? instagram 到底是如何被大批量偷号的?

2017-09-05 00:38:36 +08:00
 baskice
我在煎蛋看到有人说:

…… instagram 的账号保护系统是我看见过最蠢的,简直是为黑客量身定制。首先用一个用户名(公开的)登陆,点忘记密码,然后就获得了该用户的登陆邮箱地址,同时有一封改密码邮件发到该邮箱。如果该邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件。接下来你就可以改密码,改绑定邮箱,该过程完全不通知原账户的绑定邮箱。……

http://jandan.net/2017/09/04/instagram-hack.html

这里 [邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件] 是怎么做到的?单纯开 IMAP 不至于被偷邮件吧???
1589 次点击
所在节点    问与答
6 条回复
autoxbc
2017-09-05 00:50:50 +08:00
他那个表述模糊不清,感觉也不专业
mornlight
2017-09-05 01:00:24 +08:00
oott123
2017-09-05 08:42:50 +08:00
我猜他的意思是不应该把特定用户的邮箱轻易展示给随机人员。
tony1016
2017-09-05 09:34:27 +08:00
是有这种可能的。如果用户邮箱的 imap 服务并没有使用 starttls 的话,确实是明文传递信息的。如果在特定的局域网条件下,是可以通过截取明文获取信息的。
如果我的推测是可行的,那么,@mornlight 君,你是啥表情??
mornlight
2017-09-05 11:06:59 +08:00
@tony1016 #4 所以未加密的 IMAP 理论上可以被嗅探到邮件内容,是不是 Instagram 的问题呢。

「如果该邮箱开启了 IMAP 功能,那么就能拦截到改密码邮件」

最关键的一个步骤讲不清楚,一笔带过,这段话就是不懂装懂。
tony1016
2017-09-05 13:08:32 +08:00
@mornlight 可是,你看完这篇报道,关键问题也明白了,这不就很好了嘛。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/388194

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX