15.000 Dollar Belohnung von Facebook

Schwere Facebook-Sicherheitslücke entdeckt: Zugriff auf jedes Konto auch ohne Passwort

Der indische Entwickler Anand Prakash hatte bei Facebook einen schweren Bug in Zusammenhang mit der Vergabe eines neuen Passwortes entdeckt. Ihm gelang der Zugriff auf ein Facebook-Konto auch ohne Passwort. Nach Meldung der Sicherheitslücke an Facebook zahlte ihm das soziale Netzwerk eine Belohnung in Höhe von 15.000 Dollar.

Facebook© Facebook

Wien – Das größte soziale Netzwerk Facebook zählt weltweit inzwischen rund 1,6 Milliarden Nutzer. Der Zugang zu den Nutzerkonten ist jeweils durch ein Passwort geschützt und damit vermeintlich sicher. Der indische Entwickler Anand Prakash hatte laut Bericht der österreichischen Tageszeitung "Der Standard" aber einen relativ einfachen Weg gefunden, wie man auf jedes beliebige Facebook-Konto auch ohne Kenntnis des entsprechendes Passwortes zugreifen kann. Prakash berichtet in einem Blogeintrag, dass er aufgrund einer Sicherheitslücke bei der Vergabe eines neuen Passwortes vollen Zugang zu einem Facebook-Konto hatte. Er konnte sowohl Nachrichten lesen als auch die gespeicherten Kreditkartendaten und Fotos anschauen.

Bug auf Facebook-Betaseiten

Wie ist ihm dies gelungen? Wenn ein Facebook-Nutzer sein Passwort vergisst, kann er die Rücksetzung des Passwortes beantragen. Er muss dazu seine Telefonnummer oder E-Mail-Adresse in dem Formular angeben. Facebook sendet dem Nutzer dann einen sechsstelligen Zahlencode an das Telefon oder das Mail-Postfach. Prakash versuchte nun, den Zahlencode auf facebook.com per Bruteforce-Attacke zu überlisten. Dabei wird versucht, den Zahlencode automatisiert zu erraten. Nach zehn bis zwölf fehlerhaften Versuchen wurde der Zugang aber geblockt.

Danach wiederholte Prakash den Vorgang aber auf beta.facebook.com und mbasic.beta.facebook.com – dort gab es offenbar keine Limitierung der Fehlversuche. Er probierte es an seinem eigenen Facebook-Konto aus und konnte ein neues Passwort für sein Konto anlegen, mit dem er sich dann auch bei Facebook einloggen konnte.

15.000 Dollar Belohnung von Facebook

Der Inder informierte Facebook über den Bug, die Sicherheitslücke wurde innerhalb eines Tages behoben. Für Prakash hat sich die Entdeckung gelohnt: Facebook zahlte ihm für die Aufdeckung der Schwachstelle eine Belohnung von 15.000 US-Dollar.

Jörg Schamberg

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Weitere Infos zum Thema

Mehr aus dem Web

Das könnte Sie auch interessieren
Zum Seitenanfang