Hacker hätte jedes Facebook-Profil der Welt knacken können

In einem Blogeintrag und Video erklärt der indische Programmierer Anand Prakash unter „Responsible Disclosure“, wie er eine Schwachstelle bei Facebook entdeckt hatte, die es ihm ermöglicht hätte, sich in jedes Facebook-Konto der Welt einzuloggen. 15.000 US-Dollar war Facebook diese Information wert.

Prakash trickste dabei den „forget password?“-Algorithmus aus. Er veranlasste ein „Passwort Zurücksetzen via E-Mail oder Telefonnummer“. Daraufhin schickt Facebook einen sechsstelligen Code an die eingegebene Nummer oder Adresse, die der Nutzer in ein Feld eintragen muss. Beim Versuch dieses Zahl zu „bruteforcen“, also übersetzt zu erraten, wurde Prakash von Facebook wie üblich nach 10 bis 12 Versuchen blockiert.

Einfaches Bruteforcing

Als er dasselbe jedoch via beta.facebook.com und mbasic.beta.facebook.com versuchte, gab es zu Prakash Erstaunen keinen Schutz vorm Bruteforcen. So wäre es Prakash möglich gewesen, Passwörter eines x-beliebigen Kontos zurücksetzen zu lassen, den Code zu bruteforcen und sich so Zugang zu jedem Konto der Welt zu verschaffen. Stattdessen meldete er die Lücke an Facebook.

Facebook sagte, die Schwachstelle sei insgesamt 72 Stunden lang vorhanden gewesen. Das Netzwerk bestätigte den Bug und erklärte, dieser sei aufgrund einer Systemumstellung im Backend-System aufgetreten. Der Hacker selbst hatte den Bug Mitte Februar gemeldet. Dass Facebook dem indischen Hacker eine „Bug Bounty“ in der Höhe von 15.000 US-Dollar bezahlt hatte, bestätigte das Unternehmen ebenfalls. Diese Summe war am 2. März ausbezahlt worden.