Kein Sicherheitskonzept ohne Lücke. Das gilt auch für Facebook. Eine besonders gefährliche hat der Hacker Anand Prakash kürzlich entdeckt: Durch einen simplen Trick hatte der Inder die Möglichkeit, sich auf 1,5 Milliarden Nutzerkonten Zugriff zu verschaffen. Davon berichtet er auf seinem Onlineblog.

Möglich war dies durch einen Fehler im Log-in-Prozess. Vergessen Nutzer ihr Passwort, können sie ein neues anfordern. Facebook verschickt dann eine sechsstellige PIN an die hinterlegte E-Mail-Adresse oder Telefonnummer. Der Nutzer gibt die PIN auf der Website oder in der App ein und kann daraufhin ein neues Passwort festlegen.

Um zu verhindern, dass die sechsstellige Nummer von Hackern durch automatisierte Programme geknackt wird, blockiert Facebook nach mehreren Fehlschlägen die PIN. Aber nur auf der regulären Website. Nicht in der Beta-Version.

Wie Prakash herausfand, hatte Facebook vergessen, diese Sicherheitsmaßnahme nach einem Update wieder zu implementieren. Theoretisch war es dadurch möglich, auf alle 1,5 Milliarden Nutzerkonten zuzugreifen. Wenn Prakash gewollt hätte, sogar auf das von Mark Zuckerberg, dem Gründer von Facebook.

15.000 Dollar Belohnung von Facebook

"Ich hatte vollen Zugriff auf die Accounts anderer Nutzer durch das Erstellen eines neuen Passwortes", schrieb Prakash auf seinem Blog. "Daraufhin konnte ich Nachrichten lesen, Kreditkartendaten, Privatfotos und Ähnliches abrufen."

Genutzt hat Prakash sein Wissen nicht. Stattdessen meldete er sich brav bei Facebook und wies auf den Fehler hin. Nach insgesamt 48 Stunden wurde die Sicherheitslücke geschlossen – und Prakash erhielt eine Belohnung von 15.000 Dollar (umgerechnet etwa 13.600 Euro).

Ein Facebook-Sprecher bedankte sich bei dem Hacker, der im Alltag übrigens als Sicherheitsingenieur für die E-Commerce-Firma Flipkart arbeitet. "Wir freuen uns, Anand für seinen exzellenten Hinweis zu belohnen", sagte er dem britischen "Telegraph".

Quelle : welt.de

Tags: