Ich gestehe, als ich dies gelesen habe, ist es mir heiß und kalt den Rücken runter gelaufen. Einem indischen Sicherheitsforscher ist es gelungen, alle Facebook-Benutzerkonten zu kapern.
Anzeige
Die Information findet sich in diesem englischsprachigen Blog-Post von Anand Prakash. Dieser gibt an, eine Sicherheitslücke bei Facebook gefunden zu haben, über die er faktisch alle Facebook-Benutzerkonten (über 1 Milliarde) hätte übernehmen können. Damit hätte er Zugriff auf alle Daten des Benutzers, samt ggf. hinterlegter Kreditkartendaten, gehabt.
Der Hack war dabei verblüffend einfach und macht sich den Mechanismus zur Kennwortzurücksetzung zunutze. Vergisst man bei einem Facebook-Benutzerkonto die Zugangsdaten, kann man sich einen Zurücksetzcode zusenden lassen und das Passwort zurücksetzen. Bei Facebook wird ein sechsstelliger Zurücksetzcode verwendet, der sich per Computer erraten lässt. Normalerweise erfolgen solche Angriffe per Brute-Force-Angriff. Facebook sperrt daher die Kennwortrücksetzung, sobald der Zurücksetzcode 10 – 12 Mal falsch eingegeben wurde. So weit so gut.
Anand Prakash ist aber auf eine interessante Lücke gestoßen: Bei Facebook gibt es wohl eine Testseite, auf der der Zurücksetzcode beliebig häufig eingegeben werden konnte. Und über die Testseite war der Zugriff auf alle Facebook-Konten möglich. Anand Prakash hat die Probe bei seinem eigenen Facebook-Konto gemacht und das Ganze in einem Video dokumentiert.
Facebook account takeover vulnerability (This is now fixed)
from Anand Prakash on Vimeo.
Anschließend meldete er die gefundene Sicherheitslücke bei Facebook. Das Unternehmen hat die Lücke am 24. Februar 2016 behoben und Anand Prakash konnte eine Belohnung von 15.000 US $ kassieren. Bei stern.de findet sich ein deutschsprachiger Artikel zum Thema.
2015
