به لطف چند ویژگی که به خوبی به آن توجه نشده بود، مجرمان سایبری می‌توانند بدون اینکه رمز عبور را بدانند، به حساب‌های آنلاین در برخی از بزرگترین پلتفرم‌ها نفوذ کنند. به گفته محققانی که این موضوع را بررسی می‌کنند، تنها چیزی که هکر‌ها لازم دارند، آدرس ایمیل قربانی است.
چند روش برای انجام موفقیت آمیز این نوع هک وجود دارد، اما به زبان ساده باید گفت که اگر مهاجم آدرس ایمیل قربانی را بداند و بداند که حساب کاربری برای آن در یک سرویس ثبت نشده است، می‌تواند آن را ایجاد کند.
البته برای سرویس‌هایی که نیاز به تأیید کاربر از طریق ایمیل دارند، یک مشکل وجود دارد که برای هکر‌ها دور زدن آن خیلی سخت نیست. مهاجمان می‌توانند یک حساب کاربری با آدرس ایمیل دیگری ایجاد کنند و سپس بعداً به آدرس قربانی تغییر مکان دهند.
برخی از پلتفرم‌ها امکان ادغام حساب‌ها را فراهم می‌کنند. اگر سرویس ببیند که قربانی می‌خواهد یک حساب کاربری را با ایمیلی که قبلاً ثبت شده است ثبت کند، ممکن است یک ویژگی ورود به سیستم را ارائه دهد، بدون اینکه هرگز از قربانی رمز عبور بخواهد.

همچنین مهاجم می‌تواند یک اسکریپت خودکار ایجاد کند تا نشست را تا زمانی که لازم است فعال نگه دارد.
محققان هشدار می‌دهند که احتمالاً سایت‌های زیادی دارای این حفره هستند و باید این حفره‌ها را برطرف کنند. در نهایت به کاربران توصیه می‌شود کلید‌های امنیتی و سایر اشکال احراز هویت چند مرحله‌ای را هرجا ممکن است، تنظیم کنند.
بیشتر بخوانید