Social Media

Wie ein Programmierer jedes Facebook-Konto hätte hacken können – und dafür 15.000 Dollar bekam

Facebook Bug Hack Facebook-Konto Passwort
geschrieben von Tobias Gillen

Dass es sich IT-Unternehmen gerne mal ein paar Dollar kosten lassen, wenn ein Nutzer eine sicherheitsrelevante Schwachstelle findet, ist nichts neues. Mit diesem Bug bei Facebook hätte ein Programmierer aus Indien jedes Facebook-Konto übernehmen können – und kassierte dafür eine satte Belohnung.

Der Fehler ist so simpel, dass ihn wohl fast jeder hätte ausnutzen können. Wenn ein Nutzer sein Passwort vergisst, kann er über die Funktion „Passwort vergessen“ einen Link zum Zurücksetzen anfordern. Bei Facebook wird nun, sobald dieser Mechanismus ausgelöst wurde, ein sechsstelliger Code an die hinterlegte E-Mail-Adresse gesendet. Gibt man diesen Code ein, kommt man auf eine Seite, wo man das Passwort ändern kann.

Nun müsste ich also grundsätzlich nur die E-Mail-Adresse meines Opfers kennen und könnte dann den Code mit der Brute-Force-Methode, bei der binnen weniger Sekunden etliche Kombinationen automatisch ausprobiert werden, erraten, um das Passwort zurückzusetzen. Hier hat Facebook natürlich mitgedacht und eine Sperre bei – so Programmierer Anand Prakash aus Indien – nach 10 bis 12 Versuchen eingebaut.

15.000 Euro für einen Bug

Hier kommt man also nicht weiter. In der Folge hat Prakash die Subdomains beta.facebook.com und mbasic.beta.facebook.com aufgerufen und selbiges Vorgehen dort erneut getestet. Und hier blieb die Sperre bei x Fehlversuchen aus, sodass er munter mit einem Programm sämtliche Kombinationen ausprobieren konnte, bis er die passende Kombination gefunden hatte. Das ganze Prozedere hat er in einem Video festgehalten, dauert keine fünf Minuten.

Der Nutzer selbst hätte dagegen im Grunde nur reagieren können, wenn er die E-Mail oder SMS von Facebook früh genug gelesen hätte. Bei einem Zeitraum von, wenn man die Masche einmal kennt, vermutlich deutlich unter fünf Minuten, wäre das wohl viel zu häufig nicht der Fall gewesen.

Bug rund 72 Stunden online, einen Tag nach Meldung behoben

Den Bug meldete Prakash am 22. Februar an Facebook, schon am Tag drauf war die Lücke auf den Subdomains geschlossen. Laut Facebook sei die Lücke insgesamt 72 Stunden online gewesen. Für Anand Prakash hat sich seine Neugier doppelt ausgezahlt: Nicht nur dass sein Blog viel Beachtung erhält, Facebook lässt zudem noch 15.000 US-Dollar für diese Entdeckung springen. Gut nur, dass es Menschen wir Prakash gibt, die solche Dinge melden, statt sie auszunutzen.

Hier findest du viele Tipps, wie du deine Konten bei Facebook, Twitter, Google und Co. sicherer machst, was ein sicheres Passwort ausmacht (auch wenn das hier genau nichts gebracht hätte) und wie du Cookies umgehen kannst.

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

13 Kommentare

  • Das war die Überschrift im XING Newsletter: „Wie ein Programmierer jedes Facebook-Konto hacken konnte“

    Bitte macht nächstes Mal ein „könnte“ daraus… Diese Clickbaitüberschriften lassen Eure Seriösität in den Keller sinken.

    • Wer verschickt noch gleich den XING-Newsletter? Unsere Überschrift ist – wie du oben sehen kannst – „Wie ein Programmierer jedes Facebook-Konto hätte hacken können – und dafür 15.000 Dollar bekam“. Was XING in seinem Newsletter anteasert, ist nun wirklich nicht unsere Schuld.

  • Was ich nicht ganz kapiert hab, woher kennt er den Bereich in der er Suchen muss?

    Der Sicherheitscode ist doch keine Zahl die hochzählt, oder?! – im Video hat aber einen ganz genauen Bereich in dem er probiert.
    Vermutlich kannte er den Code – und hat nur sein Verfahren demonstriert?

    Im Video braucht er 170 Sekunden für 899 Codes – also gerademal 5 Codes pro Sekunde.
    Würde heißen wenn er von 0 bis 999999 probiert und der Code ist 500.00 => über 24h

    🙂 Oder seh ich da was falsch!?

    • Ich denke, es ist so, wie du sagst. Er hat ja die Mail mit dem Code bekommen (war ja sein Konto). Entsprechend diente das wohl der Demonstration. Wer es drauf anlegt, wird wohl deutlich schneller agieren können als 5/sek. Darauf würde ich mich also auch nicht verlassen.

  • Ich habe selbst von diesem Lack von Facebook im Radio gehört. Ich finde es immer wieder interessant zu hören, dass es Leute gibt die immer wieder Fehler auf Facebook finden. So können wir mal wieder sehen, wie „sicher“ unser Profil und unsere Daten auf Facebook sind -.-

  • Habe im Kino den Film „Snowden“ angesehen und seither habe ich wirklich etwas Bauchweh mit allem Facebook, Twitter, usw.

  • Ich finde $15k angemessen. Gut das die Lücke gleich geschlossen wurde.
    Nur was ist dem hack via Telnet, BAD USB oder ARP im eigenen Netzwerk. Die Exploits funktionieren weiterhin. Die IP der Zielperson zu besorgen ist nicht schwer über den FB Chat.
    Danach mit den Methoden ansetzen. Ihr braucht nur den bekannten Hackern auf youtube folgen. Und ich rede nicht von 90% Spam auf youtube mit dem Keyword „Hack“.

    FB ist nach wie vor sehr unsicher