Der indische Entwickler Anand Prakash hat eine schwerwiegende Sicherheitslücke im größten sozialen Netzwerk der Welt entdeckt. Der Bug ermöglichte es, dass er sich in jedes Facebook-Konto hätten hacken können. Er hat seine Entdeckung dem Unternehmen gemeldet und dafür eine Belohnung bekommen – Kriminelle hätten sich aber Zugriff auf 1,6 Milliarden Nutzerkonten verschaffen können.

Passwort-vergessen-Funktion ausgenutzt

Die Schwachstelle war laut Prakash einfach auszunutzen, wie er in einem Blogeintrag schreibt. Wenn ein Nutzer sein Passwort vergisst, kann er es zurücksetzen lassen, indem er über ein Formular auf der Facebook-Seite eine zuvor angegebene Telefonnummer oder E-Mail-Adresse angibt. Facebook schickt daraufhin einen sechsstelligen Code, den der Nutzer als Passwort beim nächsten Login angeben muss.

Mit einer Bruteforce-Attacke, also das Erraten des Codes mithilfe eines Programms, stieß Prakash zunächst noch an. Denn nach zehn bis zwölf falschen Codeeingaben wird man geblockt. Allerdings fehlte diese Einschränkung auf beta.facebook.com und mbasic.beta.facebook.com. Er konnte also beliebig oft Zahlenkombinationen ausprobieren, bis der richtige sechsstellige Code gefunden war und er Zugriff auf das Konto erlangte.

15.000 Dollar Belohnung

Facebook hat die Schwachstelle nach Prakashs Meldung innerhalb eines Tages geschlossen und dem Sicherheitsforscher 15.000 US-Dollar Belohnung im Rahmen des Bug-Bounty-Programms bezahlt. (br, 10.3.2016)