![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/04\/FB_thumb.jpg\")
Ich gestehe, als ich dies gelesen habe, ist es mir hei\u00df und kalt den R\u00fccken runter gelaufen. Einem indischen Sicherheitsforscher ist es gelungen, alle Facebook-Benutzerkonten zu kapern.<\/p>\nIch gestehe, als ich dies gelesen habe, ist es mir hei\u00df und kalt den R\u00fccken runter gelaufen. Einem indischen Sicherheitsforscher ist es gelungen, alle Facebook-Benutzerkonten zu kapern.<\/p>\n
<\/p>\n
Die Information findet sich in diesem englischsprachigen Blog-Post<\/a> von Anand Prakash. Dieser gibt an, eine Sicherheitsl\u00fccke bei Facebook gefunden zu haben, \u00fcber die er faktisch alle Facebook-Benutzerkonten (\u00fcber 1 Milliarde) h\u00e4tte \u00fcbernehmen k\u00f6nnen. Damit h\u00e4tte er Zugriff auf alle Daten des Benutzers, samt ggf. hinterlegter Kreditkartendaten, gehabt.<\/p>\n Der Hack war dabei verbl\u00fcffend einfach und macht sich den Mechanismus zur Kennwortzur\u00fccksetzung zunutze. Vergisst man bei einem Facebook-Benutzerkonto die Zugangsdaten, kann man sich einen Zur\u00fccksetzcode zusenden lassen und das Passwort zur\u00fccksetzen. Bei Facebook wird ein sechsstelliger Zur\u00fccksetzcode verwendet, der sich per Computer erraten l\u00e4sst. Normalerweise erfolgen solche Angriffe per Brute-Force-Angriff. Facebook sperrt daher die Kennwortr\u00fccksetzung, sobald der Zur\u00fccksetzcode 10 \u2013 12 Mal falsch eingegeben wurde. So weit so gut.<\/p>\n Anand Prakash ist aber auf eine interessante L\u00fccke gesto\u00dfen: Bei Facebook gibt es wohl eine Testseite, auf der der Zur\u00fccksetzcode beliebig h\u00e4ufig eingegeben werden konnte. Und \u00fcber die Testseite war der Zugriff auf alle Facebook-Konten m\u00f6glich. Anand Prakash hat die Probe bei seinem eigenen Facebook-Konto gemacht und das Ganze in einem Video dokumentiert.<\/p>\n Facebook account takeover vulnerability (This is now fixed) Anschlie\u00dfend meldete er die gefundene Sicherheitsl\u00fccke bei Facebook. Das Unternehmen hat die L\u00fccke am 24. Februar 2016 behoben und Anand Prakash konnte eine Belohnung von 15.000 US $ kassieren. Bei stern.de findet sich ein deutschsprachiger Artikel<\/a> zum Thema.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich gestehe, als ich dies gelesen habe, ist es mir hei\u00df und kalt den R\u00fccken runter gelaufen. Einem indischen Sicherheitsforscher ist es gelungen, alle Facebook-Benutzerkonten zu kapern.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4872,4328],"class_list":["post-175599","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-faceebook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175599"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175599\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nfrom Anand Prakash<\/a> on Vimeo<\/a>.<\/p>\n