Blunder bij Facebook bracht alle Facebookers in gevaar

Dat bedrag staat misschien wel in verhouding tot het niveau van IT-kennis dat nodig was om het probleem te ontdekken, maar zeker niet tot het risico dat Facebookers liepen. Prakash ontdekte namelijk een even simpele als onwaarschijnlijke methode om het beschermingsmechanisme te omzeilen dat het raden van de reset-code voor een wachtwoord onmogelijk moet maken.

Wie zijn wachtwoord voor zijn Facebook-account kwijt is, kan zo'n code opvragen via een formulier. Daarna krijgt de vrager via SMS een 6-cijferige code om zijn account te openen en het wachtwoord te wijzigen. Prakash kwam op het idee om dat mechanisme eens uit te proberen met een willekeurige reeks getallen. Daarbij leek het erop dat Facebook zijn zaakjes op orde had: na 10 tot 12 pogingen werd hij geblokkeerd.

Insluiproute via bètasites

Prakash houdt kennelijk van grondig werk, of hij heeft een neus voor stupiditeiten: hij probeerde het ook nog eens via beta.facook.com en mbasic.beta.facebook.com. En daar bleek het beschermingsmechanisme dat een aanval met brute kracht moet voorkomen, niet geïmplementeerd te zijn. Via die beta-sites kon hij naar hartenlust codes uitproberen.

Alles wat nodig was om een geslaagde overname van een Facebook-account te realiseren, was een e-mailadres of telefoonnummer van het doelwit - gegevens waar in heel veel gevallen wel aan te komen is. En een programmaatje om de cijfercombinaties uit te proberen, want dat is geen klusje dat je met de hand wilt doen. Prakash probeerde het alleen met zijn eigen e-mailadres overigens, om geen inbreuk te maken op de privacy van anderen. Hij beschrijft zijn vinding op een eigen blog.

Facebook heeft het probleem na melding meteen opgepakt. Inmiddels is deze (in)sluiproute door Facebook afgesloten.