Een beveiligingsonderzoeker heeft een manier gevonden die het mogelijk maakte om elk Facebook-account te kraken, zo lang hij in het bezit was van een e-mailadres of telefoonnummer dat was gekoppeld aan het account. Het lek is inmiddels gedicht.

Onderzoeker Anand Prakash maakte gebruik van een ontwerpfout in het proces van Facebook om wachtwoorden te herstellen. 

Als gebruikers hun wachtwoord zijn vergeten, kunnen ze hun e-mailadres of telefoonnummer invoeren om hier een zescijferige code naar te laten sturen. Als ze deze code correct invoeren, kan een nieuw wachtwoord worden gekozen. Het is op Facebook.com onmogelijk om die code een oneindig aantal keer te raden. Na ongeveer tien keer worden de pogingen van de gebruiker geblokkeerd. Maar Prakash ontdekte dat die limiet op de bètasite van Facebook niet bestond. Zo kon hij gemakkelijk een script schrijven om de code te raden, en vervolgens een nieuw wachtwoord aan een account te geven.

Omdat het vrij lang duurt om elk van de miljoen mogelijke codes te proberen, had het lek vermoedelijk niet gebruikt kunnen worden om grootschalig accounts te kapen. Wel was de methode bruikbaar om in te breken op specifieke accounts. Hij meldde het probleem op 22 februari aan Facebook en een dag later was het lek verholpen.

Facebook heeft inmiddels een bedrag van 15.000 dollar uitgekeerd aan Prakash voor de vondst van het lek.

Alles bij de bron; NU



Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha