Beveiligingsonderzoeker kon alle Facebook-accounts kraken

© iStock
Wim Kopinga Freelance journalist

Een beveiligingsexpert kon elk Facebook-account kraken, zolang hij in het bezit van een e-mailadres of telefoonnummer was dat gekoppeld was aan het account. Facebook heeft het lek inmiddels gedicht en 15.000 dollar aan de expert uitgekeerd.

Op zijn blog schrijft Anand Prakash over een ontwerpfout in het resetten van wachtwoorden bij het sociale netwerk. Wanneer iemand zijn wachtwoord vergeet en deze wil resetten heeft hij de optie om zijn e-mailadres of telefoonnummer in te voeren, waarna hij een code van zes cijfers toegestuurd krijgt waarmee het wachtwoord opnieuw ingesteld kan worden. Op Facebook.com kan dat 10 tot 12 keer, Prakash.

Toen probeerde hij hetzelfde op de betasite van Facebook, waar hij zag dat hier geen beperking op zat. Hij kon de code zo vaak invoeren als hij wilde, waardoor hij door het schrijven van een script dit automatisch talloze keren in kon voeren en dus de juiste code zou vinden. Als test probeerde hij het op zijn eigen account en het werkte.

Op 22 februari gaf hij aan Facebook door dat het lek bestond en een dag later was het opgelost. Om de beveiliger te belonen heeft Facebook 15.000 dollar (13.600 euro) uitgekeerd aan Prakash voor het vinden van het lek. Voor zover bekend is het lek niet misbruikt.

De inhoud op deze pagina wordt momenteel geblokkeerd om jouw cookie-keuzes te respecteren. Klik hier om jouw cookie-voorkeuren aan te passen en de inhoud te bekijken.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content