In der Kontenübersicht von Meta können Nutzer ihre Facebook-, Instagram- und Meta-Accounts verknüpfen, doch das Portal wies zu Beginn auch eine gravierende Sicherheitslücke auf. Einem Hacker ist es gelungen, mit nur geringem Aufwand die Zwei-Faktor-Authentifizierung (kurz: 2FA) von Facebook-Accounts zu umgehen. Notwendig war dafür lediglich die Telefonnummer des Ziels.
Gtm Mänôz, ein Sicherheitsexperte aus Nepal, stellte fest, dass Meta kein Limit für die Eingabe des 2FA-Codes eingestellt hat. Nach einem versuchten Login und dem Versand des Sicherheitcodes an das verknüpfte Smartphone hat ein Angreifer also die Möglichkeit, unbegrenzt viele Codes auszuprobieren. Diese als Bruteforce bekannte Methode ist einer der ältesten Tricks im Hacker-Gewerbe und lässt sich eigentlich sehr einfach verhindern, indem der Account nach der mehrfachen Eingabe eines falschen Codes gesperrt wird.
Da Meta diese Sicherheitsmaßnahme aber nicht ergriffen hat, konnte Mänôz den 2FA-Code letztendlich einfach erraten und anschließend die Telefonnummer mit einem anderen Facebook-Account verknüpfen. Der gehackte Account ist also nur noch durch das reguläre Passwort geschützt. Immerhin: Eine E-Mail informierte den Account-Besitzer über die Neuverknüpfung der Telefonnummer.
Gtm Mänôz
Mänôz entdeckte die Sicherheitslücke im Rahmen eines Bug-Bounty-Programms, im September 2022 gab er seinen Fund an Meta weiter. Das Unternehmen beseitigte die Schwachstelle wenige Tage später und belohnte Mänôz mit einer Belohnung in Höhe von 27.200 US-Dollar. Eine Meta-Sprecherin sagte gegenüber Techchrunch, dass sich das betroffene Login-System zum Zeitpunkt des Fehlers noch in einem eingeschränkten, öffentlichen Test befand. Es gebe keine Anzeichen dafür, dass ein Missbrauch mithilfe dieser Methode stattgefunden habe.
Schwere Sicherheitslücke gefährdet Samsung-Galaxy-Besitzer – das sollten Sie tun
Autor: Kris Wallburg, Redakteur
