De Indiase beveiligingsonderzoeker Anand Prakash heeft een kwetsbaarheid in Facebook ontdekt. Met behulp van dit lek had hij de mogelijkheid om alle accounts over te nemen.
De “eenvoudige kwetsbaarheid” zoals de onderzoeker het zelf noemde, zat verscholen in de wachtwoord-resetfunctie. Als gebruikers van de sociale mediasite hun wachtwoord niet meer weten, hebben ze de mogelijkheid om dat te resetten door hun telefoonnummer of e-mailadres in te typen. Van Facebook ontvangen ze daarna een code van zes cijfers via hun telefoon of e-mailadres. Die code dienen ze in te voeren om een nieuw wachtwoord te gebruiken.
Brute force-beveiliging
Facebook heeft deze optie van een brute force-beveiliging voorzien. Als er tien tot twaalf keer een verkeerd wachtwoord is ingevoerd, wordt het inloggen geblokkeerd door Facebook. Wat ging er mis? Op de domeinen beta.facebook.com en mbasic.beta.facebook.com ontbreekt deze beveiliging en kon de Indiase onderzoeker erin slagen om met behulp van een brute force-attack zijn eigen zescijferige code te onderscheppen en zijn wachtwoord te wijzigen.
Bugmelding
Zodoende kon hij toegang krijgen tot alle accounts van de social mediasite. Eind februari lichtte hij Facebook hierover in. Facebook heeft het probleem meteen verholpen. Anand Prakash is 15.000 dollar rijker geworden: de vergoeding die Facebook betaald heeft voor zijn bugmelding.