Security, Tech

เล่าประสบการณ์เสียว กับ Dropbox และ Google Authenticator

ประสบการณ์เสียววันนี้: ก่อนหน้านี้ตั้ง Dropbox ให้เวลาล็อกอินต้องใส่รหัสยืนยันจาก Google Authenticator ด้วย แต่วันก่อนไป Factory Reset มือถือแล้วดันลืมปิดระบบยืนยันของ Dropbox วันนี้พอจะล็อกอินมันก็เลยถามรหัสยืนยัน แต่พอเลือกให้มันส่งรหัสมาทาง SMS ปรากฏว่ามันไม่ส่ง!! เอาไงดีทีนี้? ก็เลยว่าจะล็อกอินด้วยรหัสสำรอง (Recovery Code) ปรากฏว่าทำรหัสหาย!!! ชิบ…

โชคดีที่ในคอมลงโปรแกรม Dropbox ไว้แล้วล็อกอินไว้แล้ว ก็เลยลองกดปุ่มที่มันบอกว่า Open Dropbox.com ดูว่ามันจะเข้าได้มั้ย ปรากฏว่ามันเปิดเบราว์เซอร์เข้าเว็บ Dropbox เห็นหน้าจัดการไฟล์ได้เลยโดยไม่ต้องล็อกอิน (เอ๊ะ?!) รวมถึงสามารถกดเข้ามาหน้า Settings เพื่อตั้งค่า Authenticator app ใหม่ได้ด้วย … รอดตายไปได้อีกหนึ่งงาน ;w;

บทเรียนจากเรื่องนี้
1. สำรองข้อมูลจาก Google Authenticator ไว้ซะก่อนที่จะ Factory Reset
2. ถ้าไม่ชัวร์ก็ปิด 2FA ของ Service ต่างๆ ก่อน ลงรอมเสร็จเมื่อไหร่ค่อยเปิดใหม่
3. การตั้งค่าให้ส่งรหัส OTP มาทาง SMS บางทีมันก็ไว้ใจไม่ค่อยได้
4. เก็บ Recovery Code ไว้ให้ดีๆ -_-”
5. เว็บ Dropbox เข้าได้โดยไม่ต้องล็อกอิน วิธีการคือคลิกขวาที่ไอคอน Dropbox แล้วกดไอคอนรูปโลก
6. เด๋วว่างๆ จะแกะไอ้ข้อ 5. นี่ออกมาดูว่ามันทำไงถึง Bypass Login + 2FA :v

open-dropbox

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s