In der Vergangenheit hatte Facebook immer wieder mit diversen Sicherheitslücken und Schwachstellen zu kämpfen. Aber einen Facebook-Account zu hacken und das Passwort eines fremden Users zurückzusetzen, war glaube ich noch nie so einfach, wie über diese Methode. Ganz ohne Schadprogramme oder anderen Hacking-Methoden, deckte der britische IT-Sicherheitsfachmann Jack Whitton (@Fin1te) eine Sicherheitslücke bei Facebook auf, welche die Passwort-Zurücksetzung über eine schlichte SMS ermöglicht.
Wichtig hierbei ist, dass der anzugreifende Facebook-Account die Verknüpfung mit dem Smartphone zulässt. Das ist erforderlich, damit wir uns den Bestätigungscode auf unser Handy schicken lassen können, um Facebook letztlich vorzugaukeln, es sei unser Account. Die Lücke sitzt hierbei in der /ajax/settings/mobile/confirm_phone.php und erfordert nur die manuelle Modifizierung der profile_id auf die ID des verlinkten Accounts.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Im Beispiel von Jack Whitton musste nun nur noch der Bestätigungscode via SMS angefordert werden. Hierfür schickte er Code F an 32665, welche die Kurzwahl von Facebook in Großbritannien ist. Im Anschluss sendete Facebook wie erwartet einen 8-stelligen Bestätigungscode, der wiederum zur erfolgreichen Verknüpfung des eigenen Smartphones mit dem fremden Facebook-Account verwendet werden kann.
Alles was es nun noch brauchte, ist die Anforderung eines neuen Passworts über die "Passwort vergessen" Funktion. Das neue Passwort wurde dank der Verifizierung postwendend an das Smartphone von Jack Whitton gesendet. Spätestens jetzt hatte er vollen Zugriff auf das fremde Facebook-Profil, sprich private Nachrichten lesen, Fotos betrachten oder das Profil sogar löschen bzw. stilllegen.
Wer nun mit dem Gedanken spielt die Ex-Freundin oder den blöden Ex ausspionieren zu wollen, der muss sich etwas anderes einfallen lassen. Denn der Sicherheitsfachmann informierte Facebook umfassend nach dem Aufdecken der Schwachstelle und kassierte als Belohnung 20.000 US-Dollar. Mittlerweile hat Facebook reagiert und die Sicherheitslücke behoben.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
