WhiteHat finder metode til hack af samtlige Facebook-konti - får kun 100.000 kr

Facebook har mere end to milliarder rbugere i alle aldre fra hee verden. Illustration: Twin design | BigStockPhoto
Fejlen er rettet nu, men det vides ikke, om den er blevet udnyttet af andre med værre hensigter.

Stifteren af sikkerhedsselskabet AppSecure, Anand Prakash, fandt et noget bemærkelsesværdigt hul i Facebooks sikkerhed. Det skriver han selv på sin blog.

Læs også: Facebook dømt for at overvåge ... igen ...

Dermed kommer han ind og får fuld adgang til de bunker af personlige informationer, en konto indeholder, men også til de kreditkortinformationer, der er knyttet op på den enkelte konto.

Ved at ‘glemme’ sit eget kodeord får han tilsendt en sekscifret kode til hsin telefon. Men i stedet for at indtaste koden tjekker han, om han kan gætte sig frem til, hvilke cifre der udgør koden.

Læs også: Apple udsender patches til samtlige OS efter indisk skrifttegn får telefoner til at crashe

Det kan han naturligvis ikke, og efter seks forsøg får han ikke lov til at prøve flere gange. Men herefter bliver det interessant.

Nu går Anand Prakash ind på beta.facebook.com - en side, alle der er nysgerrige på Facebooks kommende versioner kan bruge - og han opdager, at der ikke er en begrænsning på, hvor mange gange han kan forsøge sig hér.

Derfor starter han et bruteforce-angreb på sin egen konto, hvor han systematisk tjekker alle mulighederne med et script.

Seks cifre udelukkende med tal giver et begrænset antal muligheder. Og ganske rigtigt - efter få minutter kommer han igennem og kan indtaste en ny adgangskode til kontoen.

Læs også: Danskere bruger Facebook til at handle våben og hælervarer

Derefter logger han ind og får derved fuld adgang til en dybt personlig konto med en lang række informationer om og billeder af offeret, der i dette tilfælde er ham selv.

Facebook fungerer også i høj grad som indgangsportal til en lang række sites og applikationer, der tillader brugeren at ‘logge ind med Facebook’, hvorfor denne sikkerhedsbrist potentielt kan skabe langt bredere problemer end blot for Facebook.

Fik beskeden findeløn

Som det efterhånden er kutyme, fik Anand Prakash en findeløn for at rapportere fejlen til Facebook i stedet for at udnytte den. Men findelønnen var på 15.000 dollars, og det er betydeligt mindre end værdien af ubegrænset adgang til bare en brøkdel af alle Facebook-konti med tilknyttede betalingskort.

Læs også: Svenske bedemænd vil udvikle chatbots som simulerer afdøde

Anand Prakash kommenterer ikke direkte på størrelsen af findelønnen, men skriver:

»Jeg fandt en måde at hacke samtlige to milliarder Faceebook-konti på. Og jeg fik 15.000 dollar for det.«

Hullet er lukket

Idet hullet bestod i en manglende stopklods for indtasningsforsøg, har Facebook allerede patchet det.

Læs også: Facebook udnytter to-faktor-login til at spamme med sms'er, hvis du ikke er aktiv nok

Nedenfor er Anand Prakashs Proof of Concept.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

"nyheden" her er dateret marts 2016?


Det er muligt, men det ændre ikke ved, at hvis man finder en sårbarhed i et system, så skal man overveje:

  1. Om man bliver politianmeldt for det
  2. Om man får en ringe belønning
  3. Om man kan cash in på dark net

Jeg kan intet gøre ved dem der vælger mulighed 3. Jeg har valgte at tro på at denne og hin kan tage forsvarligt vare på mine private oplysninger. Det har jeg egentlig ringe tillid til, at de kan. (listen er længere)

  • 2
  • 0
Log ind eller Opret konto for at kommentere