Krasser Fehler ermöglichte Übernahme beliebiger Facebook-Accounts

Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr
Der indische Sicherheitsforscher Anand Prakash fand unlängst einen Weg, auf dem er mit ziemlich geringem Aufwand jeden beliebigen Facebook-Account übernehmen konnte. Er musste dafür nur die Stelle finden, an der ein Brute-Force-Angriff mit überschaubarem Zeitaufwand möglich ist und an der die Plattform nicht gegen einen solchen geschützt ist.
Brute-Force-Attacken auf das eigentliche Passwort können bei unvorsichtigen Nutzern zum Erfolg führen, wenn diese häufig genutzte Standard-Phrasen verwenden. Es geht aber einfacher: Es ist möglich, ein vergessenes Passwort zurückzusetzen. In diesem Fall muss der Nutzer seine Telefonnummer oder E-Mail-Adresse angeben und bekommt seinen sechsstelligen Zahlen-Code zugeschickt, mit dem man die Vergabe einer neuen Kennung durchführen kann.

Eine sechsstellige Ziffernfolge ist für ein Brute-Force-Skript kein Problem. Alle möglichen Kombinationen lassen sich hier in überschaubarem Rahmen durchprobieren. Um dies zu verhindern, beschränkt Facebook die Zahl der möglichen Versuche - allerdings war dies nur auf der normalen Seite des Social Networks der Fall.


Kein Brute-Force-Schutz auf Beta

Die Schutzfunktion war allerdings auf Facebooks Beta-Plattform nicht aktiv. Hier wird den Nutzern eigentlich ein früher Zugriff auf kommende Features angeboten, damit diese vor dem Release für alle Nutzer einem breiten Test unterzogen werden können. Wenn man für einen Account den Password-Recovery-Prozess startete, benötigte man selbst den Zahlencode nicht, sondern konnte hier mit einem einfachen Skript einfach alle Variationen durchprobieren und anschließend ein neues Passwort für das gewünschte Kundenkonto vergeben.

Bei Facebook konnte man sich entsprechend glücklich schätzen, dass diese Schwachstelle einem verantwortungsbewussten Sicherheitsforscher und nicht einem Kriminellen aufgefallen war. Prakash meldete das Problem an die Betreiber des Social Networks. Dort wurde man sofort aktiv und hatte das Problem einen Tag später bereits aus der Welt geschafft. Prakash belohnte man über das Bug Bounty-Programm mit einer Prämie in Höhe von 15.000 Dollar.

Download
Facebook-Messenger für Windows
Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:00 UhrLogitech K800 Wireless Illuminated Keyboard (deutsches Tastaturlayout, QWERTZ)
Logitech K800 Wireless Illuminated Keyboard (deutsches Tastaturlayout, QWERTZ)
Original Amazon-Preis
75,95
Im Preisvergleich ab
69,29
Blitzangebot-Preis
64,90
Ersparnis zu Amazon 0% oder 11,05

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

Tipp einsenden