Eines vorweg, bevor Panik aufkommt, die Sicherheitslücke wurde mittlerweile von Facebook geschlossen.
In Hackerkreisen sind Zugänge zu fremden Facebook Accounts äußert begehrt, damit bekommt man ja private Informationen aus Chats vielleicht sogar Fotos, die nicht für die Öffentlichkeit gedacht sind.
Facebooks Anmeldesystem ist an sich auch entsprechend sicher. Kommt es dann doch mal zu einem Hack, hat sich der User normaler Weise irgendwann „verplappert“ und so seine Zugangsdaten preisgegeben.
Lücke gefunden 15.000 Dollar reicher
In Indien ist es vor kurzem dem Sicherheitsexperten Anand Prakash gelungen einen schwerwiegenden Bug im Sicherheitssystem von Facebook zu finden. Er war damit in der Lage jeden beliebigen Facebook Account zu übernehmen.
Wie hat er es angestellt?
Jeder weiß, wenn er mal sein Passwort vergessen hat, kann er es von Facebook zurücksetzen lassen.
Dazu bekommt er per Mail oder SMS einen sechsstelligen Code und genau da hat Anand angesetzt. Auf der regulären Facebook Seite gibt es zwar eine Begrenzung für die fehlerhafte Eingabe des Codes.
In der Beta Version der Seite jedoch nicht und das hat er sich zunutze gemacht. Anstatt das eigentliche Passwort zu hacken, ging er mit einer Brute – Force – Attacke auf den sechsstelligen Code los und es dauerte nicht lange und er konnte ein neues Passwort seiner Wahl vergeben.
So hat es funktioniert:
Am 22. Februar 2016 hat er die Lücke bei Facebook gemeldet, bereits einen Tag später hatte Facebook den Fehler ausgemerzt. Durch das Facebook – Bug – Bounty – Programm bekam Anand eine Belohnung in Höhe von 15.000 US – Dollar.
Quelle: Telegraph.co.uk
Autor: Jens H., mimikama.org
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)