Inder entdeckt Sicherheitslücke in Facebook

Der Inder Anand Prakash hat im sozialen Netzwerk Facebook eine Sicherheitslücke entdeckt, mit der er ohne Zutun der Nutzer deren Accounts hätte übernehmen können. Das Leck hätte Prakash erlaubt, ein neues Passwort zu setzen und so das Konto seines Opfers komplett zu kontrollieren.

Bei Versuchen gelang es ihm, in den Nachrichten und Fotos eines Bekannten zu stöbern oder dessen Kreditkartendaten einzusehen. Sofort setzte er die Betreiber von Facebook in Kenntnis, die die Lücke schlossen und ihm eine Belohnung von 15.000 US-Dollar spendierten.

Möglich wurde der Zugriff über eine Schwachstelle in der Passwort-Erinnerungsfunktion auf Facebook. Immer wenn ein Nutzer sein Kennwort verlegt, kann er dieses über einen Link in Facebook zurücksetzen. Daraufhin sendet Facebook einen sechsstelligen Code an eine vorher hinterlegte Handynummer oder E-Mail-Adresse. Dieser muss eingegeben werden, um das Passwort zu ändern. Eine Brute-Force-Attacke – also das Durchprobieren aller Kombinationen – wird von Facebook nach 10 bis 12 Versuchen unterbunden.

Facebook sicher in 3 Minuten, keine Chance für Hacker

Interessanterweise galt diese Beschränkung jedoch nicht, wenn Facebook über die URLs beta.facebook.com oder mbasic.beta.facebook.com aufgerufen wird. So gelang es Prakash, den Code für sein eigenes Kontos mit beliebig vielen Versuchen zu erraten. Dazu waren nur wenige Eingriffe in den Code der Seite nötig.

Wie lange Prakash für das Ausprobieren aller Kombinationen benötigt hat, bleibt offen. Die mit Facebook verbundene Handynummer bzw. E-Mail-Adresse musste er dafür nicht übernehmen. Der Nutzer hätte keine Rückschlüsse auf die Attacke ziehen können.

Facebook hat die Sicherheitslücke inzwischen geschlossen und dem indischen Tüftler eine Belohnung von 15.000 US-Dollar zugesprochen. Kriminellen wäre die Schwachstelle wohl mehr wert gewesen, Prakash entschied sich jedoch für den ehrlichen Weg.

Security-Regeln für Social Media