Krasser Fehler ermöglichte Übernahme beliebiger Facebook-Accounts

Brute-Force-Attacken auf das eigentliche Passwort können bei unvorsichtigen Nutzern zum Erfolg führen, wenn diese häufig genutzte Standard-Phrasen verwenden. Es geht aber einfacher: Es ist möglich, ein vergessenes Passwort zurückzusetzen. In diesem Fall muss der Nutzer seine Telefonnummer oder E-Mail-Adresse angeben und bekommt seinen sechsstelligen Zahlen-Code zugeschickt, mit dem man die Vergabe einer neuen Kennung durchführen kann.

Eine sechsstellige Ziffernfolge ist für ein Brute-Force-Skript kein Problem. Alle möglichen Kombinationen lassen sich hier in überschaubarem Rahmen durchprobieren. Um dies zu verhindern, beschränkt Facebook die Zahl der möglichen Versuche - allerdings war dies nur auf der normalen Seite des Social Networks der Fall.

Kein Brute-Force-Schutz auf Beta

Die Schutzfunktion war allerdings auf Facebooks Beta-Plattform nicht aktiv. Hier wird den Nutzern eigentlich ein früher Zugriff auf kommende Features angeboten, damit diese vor dem Release für alle Nutzer einem breiten Test unterzogen werden können. Wenn man für einen Account den Password-Recovery-Prozess startete, benötigte man selbst den Zahlencode nicht, sondern konnte hier mit einem einfachen Skript einfach alle Variationen durchprobieren und anschließend ein neues Passwort für das gewünschte Kundenkonto vergeben.

Bei Facebook konnte man sich entsprechend glücklich schätzen, dass diese Schwachstelle einem verantwortungsbewussten Sicherheitsforscher und nicht einem Kriminellen aufgefallen war. Prakash meldete das Problem an die Betreiber des Social Networks. Dort wurde man sofort aktiv und hatte das Problem einen Tag später bereits aus der Welt geschafft. Prakash belohnte man über das Bug Bounty-Programm mit einer Prämie in Höhe von 15.000 Dollar.

Download Facebook-Messenger für Windows