Facebook-lek liet onderzoeker alle accounts overnemen

[Captain Kirk]

Een beveiligingslek in Facebook maakte het voor een Indiase beveiligingsonderzoeker mogelijk om alle accounts zonder enige interactie van gebruikers over te nemen. Anand Prakash ontdekte een naar eigen zeggen "eenvoudige kwetsbaarheid" in de wachtwoordresetfunctie van de sociale mediasite.

Als gebruikers hun wachtwoord op Facebook vergeten kunnen ze die resetten door hun telefoonnummer of e-mailadres in te voeren. Facebook stuurt vervolgens een zescijferige code naar de telefoon of het e-mailadres, dat de gebruiker moet invoeren om zijn nieuwe wachtwoord in te stellen. Om misbruik te voorkomen heeft Facebook een brute force-beveiliging ingebouwd. Na tien tot twaalf verkeerde pogingen blokkeert Facebook verdere invoerpogingen.

Op de domeinen beta.facebook.com en mbasic.beta.facebook.com bleek deze beveiliging niet aanwezig te zijn. Via een brute force-aanval slaagde Prakash erin om zijn eigen zescijferige code te achterhalen en een nieuw wachtwoord in te stellen. Op deze manier kon hij volledige toegang tot alle Facebook-accounts krijgen. De onderzoeker waarschuwde Facebook op 22 februari van dit jaar en een dag later was het probleem verholpen. Voor zijn bugmelding ontving Prakash 15.000 dollar.

 

bron: security.nl