Hacker hätte auf 1,6 Milliarden Facebook-Konten zugreifen können

10. März 2016, 14:50
24 Postings

Fand heraus, wie man sich ohne Passwort in fremde Accounts einloggen kann

Der indische Entwickler Anand Prakash hat eine schwerwiegende Sicherheitslücke im größten sozialen Netzwerk der Welt entdeckt. Der Bug ermöglichte es, dass er sich in jedes Facebook-Konto hätten hacken können. Er hat seine Entdeckung dem Unternehmen gemeldet und dafür eine Belohnung bekommen – Kriminelle hätten sich aber Zugriff auf 1,6 Milliarden Nutzerkonten verschaffen können.

Passwort-vergessen-Funktion ausgenutzt

Die Schwachstelle war laut Prakash einfach auszunutzen, wie er in einem Blogeintrag schreibt. Wenn ein Nutzer sein Passwort vergisst, kann er es zurücksetzen lassen, indem er über ein Formular auf der Facebook-Seite eine zuvor angegebene Telefonnummer oder E-Mail-Adresse angibt. Facebook schickt daraufhin einen sechsstelligen Code, den der Nutzer als Passwort beim nächsten Login angeben muss.

anand prakash

Mit einer Bruteforce-Attacke, also das Erraten des Codes mithilfe eines Programms, stieß Prakash zunächst noch an. Denn nach zehn bis zwölf falschen Codeeingaben wird man geblockt. Allerdings fehlte diese Einschränkung auf beta.facebook.com und mbasic.beta.facebook.com. Er konnte also beliebig oft Zahlenkombinationen ausprobieren, bis der richtige sechsstellige Code gefunden war und er Zugriff auf das Konto erlangte.

15.000 Dollar Belohnung

Facebook hat die Schwachstelle nach Prakashs Meldung innerhalb eines Tages geschlossen und dem Sicherheitsforscher 15.000 US-Dollar Belohnung im Rahmen des Bug-Bounty-Programms bezahlt. (br, 10.3.2016)

  • Ein indische Entwickler entdeckte eine Möglichkeit, wie man fremde Facebook-Konten knackten kann.
    foto: apa/robert schlesinger

    Ein indische Entwickler entdeckte eine Möglichkeit, wie man fremde Facebook-Konten knackten kann.

Share if you care.