Hacker knackte beliebige Facebook Accounts

Eines vorweg, bevor Panik aufkommt, die Sicherheitslücke wurde mittlerweile von Facebook geschlossen.

In Hackerkreisen sind Zugänge zu fremden Facebook Accounts äußert begehrt, damit bekommt man ja private Informationen aus Chats vielleicht sogar Fotos, die nicht für die Öffentlichkeit gedacht sind.

---

---

Facebooks Anmeldesystem ist an sich auch entsprechend sicher. Kommt es dann doch mal zu einem Hack, hat sich der User normaler Weise irgendwann „verplappert“ und so seine Zugangsdaten preisgegeben.

Lücke gefunden 15.000 Dollar reicher

In Indien ist es vor kurzem dem Sicherheitsexperten Anand Prakash gelungen einen schwerwiegenden Bug im Sicherheitssystem von Facebook zu finden. Er war damit in der Lage jeden beliebigen Facebook Account zu übernehmen.

Wie hat er es angestellt?

Jeder weiß, wenn er mal sein Passwort vergessen hat, kann er es von Facebook zurücksetzen lassen.

Dazu bekommt er per Mail oder SMS einen sechsstelligen Code und genau da hat Anand angesetzt. Auf der regulären Facebook Seite gibt es zwar eine Begrenzung für die fehlerhafte Eingabe des Codes.

In der Beta Version der Seite jedoch nicht und das hat er sich zunutze gemacht. Anstatt das eigentliche Passwort zu hacken, ging er mit einer Brute – Force – Attacke auf den sechsstelligen Code los und es dauerte nicht lange und er konnte ein neues Passwort seiner Wahl vergeben.

So hat es funktioniert:

Am 22. Februar 2016 hat er die Lücke bei Facebook gemeldet, bereits einen Tag später hatte Facebook den Fehler ausgemerzt. Durch das Facebook – Bug – Bounty – Programm bekam Anand eine Belohnung in Höhe von 15.000 US – Dollar.

Quelle: Telegraph.co.uk

Autor: Jens H., mimikama.org