Lek in Facebook: alle accounts waren te kraken
Het was mogelijk elk Facebook-account te kraken, als de hacker het mobiele telefoonnummer of e-mailadres van het slachtoffer had.
Als je je wachtwoord van Facebook bent vergeten, kun je dat via een wachtwoordherstel opnieuw aanvragen. Dan voer je je telefoonnummer of e-mailadres in, waarna Facebook een zescijferige code naar je stuurt. Als deze code correct wordt ingevoerd, kun je een nieuw wachtwoord instellen.
Beveiligingsonderzoeker Anand Prakash ontdekte een kwetsbaarheid in dit proces. Op de officiële Facebook-website kun je de code maar een paar keer foutief invoeren, bij de bètasite van het sociale netwerk is geen limiet ingesteld. Prakash ging toen over op bruteforcen: het zo snel en zo veel mogelijk invoeren van zescijferige codes, totdat de juiste code is gevonden.
Na het invoeren van de juiste code kon Prakash een nieuw wachtwoord instellen en inloggen op het account van het slachtoffer. Ondanks dat het vinden van de juiste zescijferige code vrij lang duurt, lukte het hem wel om zijn eigen Facebook-account te hacken. Onderstaande video laat zien hoe dit gaat.
Prakash stelde Facebook op 22 februari op de hoogste van het lek. Binnen één dag was de kwetsbaarheid gedicht, die voor zover bekend niet is misbruikt. Prakash heeft een vergoeding van 15.000 dollar van Facebook ontvangen.