FYI.

This story is over 5 years old.

Tech

Hacker findet Lücke, um sich in jedes beliebige Facebook-Konto einzuloggen

Facebook belohnte den White-Hat-Hacker mit 15.000 Dollar—Beobachter meinen, er hätte mit seiner Entdeckung noch viel mehr verdienen können.

Bild: Screenshot Youtube | Anand Prakash

Die Aufdeckung kritischer Sicherheitslücken wird immer häufiger zu einer dramatischen Lotterie für große Tech-Plattformen. Je nachdem, mit welcher Motivation Hacker unterwegs sind, kann es verdammt teuer und hässlich für alle Beteiligten werden: Blackhat-Hacker werden gierig, die Geschäftsführung wird mit dem Leak sensibler Kundendaten erpresst und soll Millionen zahlen, und manche Nutzer, wie kürzlich beim Hack der Fremdgeh-Seite Ashley Madison geschehen, bringen sich vor Scham, exponiert zu werden, sogar um.

Anzeige

Es muss aber nicht immer in einer Schlammschlacht enden, wenn ethische Hacker wie Anand Prakash an der Sache dran sind. Die Entdeckung einer fatalen Login-Schwachstelle auf Facebook sicherte dem 23-jährigen Profi-Bug Hunter aus Kolkota nun neben allgemeiner Anerkennung aus der Technikszene in- und außerhalb Indiens 15.000 US-Dollar Belohnung von Facebook—obwohl viele begeisterte Fans glauben, seine exzellente Arbeit hätte noch weitaus mehr verdient.

Denn Prakash hat eine verblüffend einfache Möglichkeit gefunden, sich in jeden beliebigen Facebook-Account im Netzwerk zu hacken, was mit dem bequemen Zugriff auf persönliche Fotos, Kreditkartendaten, die in der Zahlungs-Sektion gespeichert sind, und dem Lesen von privaten Nachrichten einherging.

In einem kompakten Blogpost beschreibt Prakash, wie er mal eben Zugang zu über einer Milliarde Nutzeraccounts bekommen konnte: Wenn du dein Passwort für Facebook vergisst, kannst du es zurücksetzen lassen, indem du deine Telefonnummer bzw. E-Mail-Adresse eingibst. Facebook schickt dann einen sechsstelligen Code auf das Telefon oder an die eingegebene E-Mail-Adresse, mit dem du ein neues Passwort erzeugen kannst.

Screenshot Youtube | Anand Prakash

Als Prakash probierte, die Nummer immer wieder falsch einzugeben (also eine Art manuelle Brute Force-Attacke simulierte), wurde er nach spätestens zwölf Versuchen ausgesperrt. Eine ganz normale Sicherheitsvorkehrung.

Doch dann schaute sich Prakash sicherheitshalber auch noch mal bei den mobilen und desktopbasierten Beta-Seiten von Facebook um—und entdeckte Erstaunliches, denn auf diesen Seiten hatten die Programmierer ein wichtiges Detail übersehen:

Anzeige

Auf beta.facebook.com und mbasic.beta.facebook.com fehlte nämlich die eingebaute Zugriffs-Beschränkung beim Ausprobieren der sechsstelligen Codes völlig. „Ich habe also versucht, meinen eigenen Account zu übernehmen", schreibt Prakash, „und konnte erfolgreich ein neues Passwort für mein Konto setzen. Mit demselben Passwort konnte ich mich dann einloggen."

Screenshot Youtube | Anand Prakash

Gemäß den Facebook-Richtlinien probierte Prakash den Exploit nur bei seinem eigenen Konto aus—und die Firma dankt, nachdem das Leck geflickt wurde:

Bild: Anand Prakash

In diesem Video hat Prakash für uns seine freundliche Übernahme mitgefilmt (zu Demonstrationszwecken beschränkt er seine Brute Force-Attacke auf einen Bereich zwischen 154000 und 154898):

Viele Kommentatoren unter seinem Post sind verblüfft, wie Facebook so eine schwerwiegende Sicherheitslücke durch die Lappen gehen konnte. Reflexartig wittern einige auch zu allererst das große Geld und spekulieren laut, wie viel Kohle Prakash wohl gemacht hätte, hätte er den Exploit im Darknet verscherbelt:

Screen Shot 2016-03-09 at 11.06.21.JPG

Responsible Disclosure nennt sich das sofortige Öffentlichmachen von Sicherheitslücken, nachdem die betroffene Firma davon in Kenntnis gesetzt wurde und Zeit hatte, die Lücke zu schließen. Anand Prakash, der aus einer Kleinstadt in Rajastan stammt, ist darin sowas wie ein heimlicher Weltmeister.

Schon in der Uni nutze er sein IT-Wissen zum Vorteil anderer, wie er dem indischen Blog Your Story erzählte: „Da saß ich immer in der Bücherei und hab die die W-Lan-Verbindungen abgehört", wird er zitiert—allerdings nicht, um seine Kommilitonen auszuspionieren, sondern nur, um herauszufinden, wer sein 3 GB-Datenlimit in diesem Monat nicht angebrochen hatte. „Die Nutzernamen und Passwörter waren in Plain Text gespeichert. (…) Die Studenten kamen zu mir und holten sich die Accounts ab, wenn ihr Datenvolumen verbraucht war. Ich hab sie aber nie missbraucht."

Irgendwann hörte Prakash von Facebooks Bug Bounty-Programm. Sein erster Bug (mit mageren 500 US-Dollar belohnt) deckte auf, dass man herausfinden konnte, ob Facebook-Nutzer online sind, selbst wenn sie ihren Chat ausgeschaltet haben. Aber er hatte Blut geleckt und begann, gezielt nach Schwächen zu suchen, um sich bis zu einer Festanstellung (so der Plan) etwas dazuzuverdienen und Erfahrung zu sammeln.

12805656_458328081022636_7256170336361353312_n.jpg

Heute ist Anand Prakash einer der Top-Bug-Hunter für Facebook und jedes Jahr in einer Hall of Fame der Whitehat-Hacker vertreten. Die Liste der Firmen, die ihn für seine ethischen Hacks belohnt haben, liest sich auf LinkedIn wie ein Who-is-Who der Tech-Industrie: Twitter, Google, RedHat, Dropbox, Adobe, eBay, Paypal und Coinbase.

Und so hat Prakesh nicht nur etwas für jeden von uns 1.350.000.000 Facebook-Nutzern getan—sondern ganz nebenbei auch den Ruf des mit düsteren Absichten vor sich hin tippenden Hackers aufpoliert.