News-Übersicht

Aktuelles

News-Übersicht
14.03.2016 | Soziale Netze

15.000 Euro für Aufdeckung von Facebook-Fehler

Ein indischer Programmierer namens Anand Prakash hat in einem Video gezeigt, wie er jeden beliebigen Facebook-Account hätte übernehmen können. Die Chefs des sozialen Netzwerks haben ihm für die Aufdeckung dieses Bugs (= Fehler in der Software) 15.000 Euro gezahlt.

Der Fehler ist so einfach, dass ihn eigentlich jeder hätte ausnutzen können: Wer sein Kennwort für Facebook vergisst, kann sich per E-Mail einen sechsstelligen Code schicken lassen. Wer diesen Code auf der entsprechenden Facebook-Seite eingibt, kann sein Kennwort beliebig ändern.

Siehst du schon, wo das Problem liegt? Ein Übeltäter muss nur die E-Mail-Adresse eines Mitglieds haben und den Code herausfinden, um dessen Account zu übernehmen. Dafür gibt es sogenannte Brute-Force-Programme, die alle möglichen Zeichenfolgen in Sekundenschnelle durchprobieren. Das weiß Facebook natürlich und hat eine Sperre eingerichtet, die nach mehreren Eingabeversuchen (laut Prakash zwischen zehn und zwölf) aktiv wird.

Nur gab es diese Sperre nicht, wenn man das Ganze über die Unterseiten beta.facebook.com und mbasic.beta.facebook.com versucht hat. So konnte Prakash seine Brute-Force-Software solange laufen lassen, bis ein Code geknackt war.

Laut Facebook war der Fehler 72 Stunden lang online und damit jedes Benutzerkonto in Gefahr. Glücklicherweise gibt es Menschen wie Anand Prakash, die solche Sicherheitslücken melden und nicht schamlos ausnutzen.

Hier kannst du dir ansehen, wie Prakash vorgegangen ist: https://vimeo.com/158452537