Ontwerpfout Facebook maakte hacken accounts mogelijk

Een ontwerpfout in de testsite van Facebook maakte het voor een hacker vrij makkelijk om een account van iemand over te nemen. Het enige wat de hacker nodig had, was het e-mailadres of telefoonnummer dat was gekoppeld aan het betreffende account. Dat ontdekte beveiligingsonderzoeker Anand Prakash.

Op het moment dat je je wachtwoord bij Facebook vergeten bent, kun je door je e-mailadres of telefoonnummer in te vullen een herstelcode ontvangen. Op de normale site van Facebook krijg je hiervoor tien pogingen, daarna wordt de mogelijkheid geblokkeerd. Prakash ontdekte dat de testsite van Facebook oneindig veel mogelijkheden toestaat.

Herstelcode gokken

Daardoor is het mogelijk om oneindig vaak de herstelcode te gokken, met als uiteindelijk resultaat dat je een account kunt binnendringen. Aangezien dit best even kan duren, is het de vraag hoe groot de schade zou kunnen zijn. Het is waarschijnlijk wel een effectieve methode bij het hacken van specifieke accounts.

Prakash heeft de ontwerpfout doorgegeven aan Facebook. Er zijn maatregelen genomen en Prakash heeft voor de melding 15.000 dollar gekregen.