开启了 IMAP 功能能被拦截？ instagram 到底是如何被大批量偷号的？

2017-09-05 00:38:36 +08:00

baskice

我在煎蛋看到有人说：

…… instagram 的账号保护系统是我看见过最蠢的，简直是为黑客量身定制。首先用一个用户名（公开的）登陆，点忘记密码，然后就获得了该用户的登陆邮箱地址，同时有一封改密码邮件发到该邮箱。如果该邮箱开启了 IMAP 功能，那么就能拦截到改密码邮件。接下来你就可以改密码，改绑定邮箱，该过程完全不通知原账户的绑定邮箱。……

http://jandan.net/2017/09/04/instagram-hack.html

这里 [邮箱开启了 IMAP 功能，那么就能拦截到改密码邮件] 是怎么做到的？单纯开 IMAP 不至于被偷邮件吧？？？

1533 次点击

所在节点

问与答

6 条回复

autoxbc

2017-09-05 00:50:50 +08:00

他那个表述模糊不清，感觉也不专业

mornlight

2017-09-05 01:00:24 +08:00

oott123

2017-09-05 08:42:50 +08:00

我猜他的意思是不应该把特定用户的邮箱轻易展示给随机人员。

tony1016

2017-09-05 09:34:27 +08:00

是有这种可能的。如果用户邮箱的 imap 服务并没有使用 starttls 的话，确实是明文传递信息的。如果在特定的局域网条件下，是可以通过截取明文获取信息的。
如果我的推测是可行的，那么，@mornlight 君，你是啥表情？？

mornlight

2017-09-05 11:06:59 +08:00

@tony1016 #4 所以未加密的 IMAP 理论上可以被嗅探到邮件内容，是不是 Instagram 的问题呢。

「如果该邮箱开启了 IMAP 功能，那么就能拦截到改密码邮件」

最关键的一个步骤讲不清楚，一笔带过，这段话就是不懂装懂。

tony1016

2017-09-05 13:08:32 +08:00

@mornlight 可是，你看完这篇报道，关键问题也明白了，这不就很好了嘛。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/388194

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.