Zur mobilen Ansicht wechseln »

IT-Security Hacker hätte jedes Facebook-Profil der Welt knacken können.

Rund 72 Stunden lang gab es eine relativ einfache Lücke, um Facebook zu hacken.
Rund 72 Stunden lang gab es eine relativ einfache Lücke, um Facebook zu hacken. - Foto: dpa/Julian Stratenschulte
Durch eine Schwachstelle hätte sich ein Programmierer aus Indien mit jedem x-beliebigen Facebook-Profil der Welt einloggen können. Er meldete den Bug an Facebook und kassierte Geld dafür.

In einem Blogeintrag und Video erklärt der indische Programmierer Anand Prakash unter „Responsible Disclosure“, wie er eine Schwachstelle bei Facebook entdeckt hatte, die es ihm ermöglicht hätte, sich in jedes Facebook-Konto der Welt einzuloggen. 15.000 US-Dollar war Facebook diese Information wert.

Prakash trickste dabei den „forget password?“-Algorithmus aus. Er veranlasste ein „Passwort Zurücksetzen via E-Mail oder Telefonnummer“. Daraufhin schickt Facebook einen sechsstelligen Code an die eingegebene Nummer oder Adresse, die der Nutzer in ein Feld eintragen muss. Beim Versuch dieses Zahl zu „bruteforcen“, also übersetzt zu erraten, wurde Prakash von Facebook wie üblich nach 10 bis 12 Versuchen blockiert.

Einfaches Bruteforcing

Als er dasselbe jedoch via beta.facebook.com und mbasic.beta.facebook.com versuchte, gab es zu Prakash Erstaunen keinen Schutz vorm Bruteforcen. So wäre es Prakash möglich gewesen, Passwörter eines x-beliebigen Kontos zurücksetzen zu lassen, den Code zu bruteforcen und sich so Zugang zu jedem Konto der Welt zu verschaffen. Stattdessen meldete er die Lücke an Facebook.

Facebook sagte, die Schwachstelle sei insgesamt 72 Stunden lang vorhanden gewesen. Das Netzwerk bestätigte den Bug und erklärte, dieser sei aufgrund einer Systemumstellung im Backend-System aufgetreten. Der Hacker selbst hatte den Bug Mitte Februar gemeldet. Dass Facebook dem indischen Hacker eine „Bug Bounty“ in der Höhe von 15.000 US-Dollar bezahlt hatte, bestätigte das Unternehmen ebenfalls. Diese Summe war am 2. März ausbezahlt worden.

(futurezone) Erstellt am 09.03.2016, 19:22

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!