Facebook Messenger-berichten waren achteraf te wijzigen door lek

Facebook heeft een lek in Messenger gedicht waardoor achteraf ongemerkt berichten, foto’s en video’s gewijzigd konden worden door anderen.

Het lek werd ontdekt door beveiligingsbedrijf Check Point, dat het aan Facebook heeft gemeld. Het lek is daarop meteen gedicht, en werkte aan de hand van identificatienummers voor berichten. Die nummers bleken te achterhalen, waardoor berichten na het versturen alsnog op de servers van Facebook veranderd konden worden.

Stuurde een gebruiker bijvoorbeeld een tekst met als identificatienummer X, kon een kwaadwillende later hetzelfde nummer X gebruiken en met een andere tekst, foto of video naar de servers van Facebook sturen. Het oorspronkelijke bericht werd dan vervangen, zonder dat de Messenger-gebruiker daar iets van merkte.

In het kwalijkste geval konden links gewijzigd worden, zodat ze naar malafide sites leidden. Om berichten achteraf te wijzigen is wel toegang nodig tot het account van de betreffende gebruiker. Of er daadwerkelijk misbruik van het lek is gemaakt, is niet bekend. Facebook Messenger is met zo’n 900 miljoen gebruikers de op één na grootste berichtendienst ter wereld, na WhatsApp.