WhiteHat finder metode til hack af samtlige Facebook-konti - får kun 100.000 kr

26. februar 2018 kl. 12:052
WhiteHat finder metode til hack af samtlige Facebook-konti - får kun 100.000 kr
Illustration: Twin design | BigStockPhoto.
Fejlen er rettet nu, men det vides ikke, om den er blevet udnyttet af andre med værre hensigter.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Stifteren af sikkerhedsselskabet AppSecure, Anand Prakash, fandt et noget bemærkelsesværdigt hul i Facebooks sikkerhed. Det skriver han selv på sin blog.

Dermed kommer han ind og får fuld adgang til de bunker af personlige informationer, en konto indeholder, men også til de kreditkortinformationer, der er knyttet op på den enkelte konto.

Ved at ‘glemme’ sit eget kodeord får han tilsendt en sekscifret kode til hsin telefon. Men i stedet for at indtaste koden tjekker han, om han kan gætte sig frem til, hvilke cifre der udgør koden.

Det kan han naturligvis ikke, og efter seks forsøg får han ikke lov til at prøve flere gange. Men herefter bliver det interessant.

Artiklen fortsætter efter annoncen

Nu går Anand Prakash ind på beta.facebook.com - en side, alle der er nysgerrige på Facebooks kommende versioner kan bruge - og han opdager, at der ikke er en begrænsning på, hvor mange gange han kan forsøge sig hér.

Derfor starter han et bruteforce-angreb på sin egen konto, hvor han systematisk tjekker alle mulighederne med et script.

Seks cifre udelukkende med tal giver et begrænset antal muligheder. Og ganske rigtigt - efter få minutter kommer han igennem og kan indtaste en ny adgangskode til kontoen.

Derefter logger han ind og får derved fuld adgang til en dybt personlig konto med en lang række informationer om og billeder af offeret, der i dette tilfælde er ham selv.

Facebook fungerer også i høj grad som indgangsportal til en lang række sites og applikationer, der tillader brugeren at ‘logge ind med Facebook’, hvorfor denne sikkerhedsbrist potentielt kan skabe langt bredere problemer end blot for Facebook.

Fik beskeden findeløn

Som det efterhånden er kutyme, fik Anand Prakash en findeløn for at rapportere fejlen til Facebook i stedet for at udnytte den. Men findelønnen var på 15.000 dollars, og det er betydeligt mindre end værdien af ubegrænset adgang til bare en brøkdel af alle Facebook-konti med tilknyttede betalingskort.

Anand Prakash kommenterer ikke direkte på størrelsen af findelønnen, men skriver:

»Jeg fandt en måde at hacke samtlige to milliarder Faceebook-konti på. Og jeg fik 15.000 dollar for det.«

Hullet er lukket

Idet hullet bestod i en manglende stopklods for indtasningsforsøg, har Facebook allerede patchet det.

Nedenfor er Anand Prakashs Proof of Concept.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
26. februar 2018 kl. 18:50

"nyheden" her er dateret marts 2016?

Det er muligt, men det ændre ikke ved, at hvis man finder en sårbarhed i et system, så skal man overveje:

  1. Om man bliver politianmeldt for det
  2. Om man får en ringe belønning
  3. Om man kan cash in på dark net

Jeg kan intet gøre ved dem der vælger mulighed 3. Jeg har valgte at tro på at denne og hin kan tage forsvarligt vare på mine private oplysninger. Det har jeg egentlig ringe tillid til, at de kan. (listen er længere)

1
26. februar 2018 kl. 14:26

Kunne man i artiklen fx nævne at "nyheden" her er dateret marts 2016?