Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Facebook belohnt Hacker Sicherheitslücke ermöglichte "vollen Zugriff" auf Kundenkonten

Nach einem Update ist es bei Facebook fast zum Supergau gekommen: Ein Hacker konnte eine Sicherheitslücke nutzen, um sich Zugriff auf die Konten von 1,5 Milliarden Nutzern zu verschaffen.

Kein Sicherheitskonzept ohne Lücke. Das gilt auch für Facebook. Eine besonders gefährliche hat der Hacker Anand Prakash kürzlich entdeckt: Durch einen simplen Trick hatte der Inder die Möglichkeit, sich auf 1,5 Milliarden Nutzerkonten Zugriff zu verschaffen. Davon berichtet er auf seinem Onlineblog.

Möglich war dies durch einen Fehler im Log-in-Prozess. Vergessen Nutzer ihr Passwort, können sie ein neues anfordern. Facebook verschickt dann eine sechsstellige PIN an die hinterlegte E-Mail-Adresse oder Telefonnummer. Der Nutzer gibt die PIN auf der Website oder in der App ein und kann daraufhin ein neues Passwort festlegen.

Um zu verhindern, dass die sechsstellige Nummer von Hackern durch automatisierte Programme geknackt wird, blockiert Facebook nach mehreren Fehlschlägen die PIN. Aber nur auf der regulären Website. Nicht in der Beta-Version.

Einblick in sensible Daten

Wie Prakash herausfand, hatte Facebook vergessen, diese Sicherheitsmaßnahme nach einem Update wieder zu implementieren. Theoretisch war es dadurch möglich, auf alle 1,5 Milliarden Nutzerkonten zuzugreifen. Wenn Prakash gewollt hätte, sogar auf das von Mark Zuckerberg, dem Gründer von Facebook.

"Ich hatte vollen Zugriff auf die Accounts anderer Nutzer durch das Erstellen eines neuen Passwortes", schrieb Prakash auf seinem Blog. "Daraufhin konnte ich Nachrichten lesen, Kreditkartendaten, Privatfotos und Ähnliches abrufen."

Das könnte Sie auch interessieren: "Like"-Button verletzt Datenschutz

Genutzt hat Prakash sein Wissen nicht. Stattdessen meldete er sich brav bei Facebook und wies auf den Fehler hin. Nach insgesamt 48 Stunden wurde die Sicherheitslücke geschlossen – und Prakash erhielt eine Belohnung von 15.000 Dollar (umgerechnet etwa 13.600 Euro).

Ein Facebook-Sprecher bedankte sich bei dem Hacker, der im Alltag übrigens als Sicherheitsingenieur für die E-Commerce-Firma Flipkart arbeitet. "Wir freuen uns, Anand für seinen exzellenten Hinweis zu belohnen", sagte er dem britischen "Telegraph".

Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

 
Artikel kommentieren

Bitte loggen Sie sich ein, um Kommentare zu schreiben.

Login

Artikel als "Nickname" kommentieren:

Noch 800 Zeichen

Leserkommentare ()
Weitere Kommentare anzeigen ()