EDGE Facebook 盜帳號

@karate1029 - #EDGE #個資 因相容性測試裝了EDGE 發現微軟極其不舒服的設定 行為...

@karate1029 - #Facebook FB終於移除盜刷餘額了 來記錄一下這次時間序

發現一個驚人的巧合
昨天發現EDGE會從Chrome偷token後
就在查公司電腦EDGE是何時更新的
答案是今年2月(平常鎖微軟IP所以不會自動更新)
然後我FB也是今年2月
被駭客用token直接敲API盜刷信用卡
感覺...盜帳謎題解開了

囧吱吱

個人裝置因為使用潔癖
沒有任何多餘的軟體
公司電腦也是防毒不知裝到哪邊去
Facebook的token能夠洩漏的管道
除了FB官方監守自盜
現在多了一個防毒抓不到的EDGE

之前咬定FB官方有資安漏洞
就是因為除了官方以外
沒有管道能洩漏token

我當時用乾淨的Pixel手機更改帳密
駭客也是總能在一天內
繞過2FA用跟我一樣的認證打API

然後下手時間都是週一~週五
當時還以為駭客也要週休二日(幹
現在回想起來是我週一~週五會在公司用FB
然後每次重新登入token就會被EDGE取得
嫌犯多了一個...
FB是我誤會你了嗎?
雖然還是FB比較可疑

真的耶!

From the MicrosoftEdge community on Reddit: Edge mir...

、

Do Microsoft Edge and Google Chrome share cookies an...

、

Edge is sharing Chrome site logins. How do I prevent...

微軟這也太噁爛了吧

資訊人權貴 : 平常沒在用EDGE所以沒關注過相關訊息，重點微軟此舉破壞了原有的資安共識，我們將token放在Chrome是相信他的安全機制，結果微軟憑著資料放在他作業系統，就擅自複製到自家瀏覽器，這種行為根本和盜帳號無異

感到震驚，而且還是個old news，已經幹了那麼多年

benlau (⊚‿‿⊚) : 因為微軟自動更新太北七，所以平常都是鎖IP防更新，年初為了做相容測試，不得已更新一下EDGE就中招，微軟果然不能放任他隨便更新

我因為習慣用portable，所以edge沒發現我的chrome放哪 XD

Number5 : chrome的portable在安全更新上是不是會慢一步?雖然這次直接被EDGE破防了(乾