Onderzoeker kon wachtwoord van ieder Facebook account wijzigen

  1. 8 mrt 2016
  2. 0 reacties

hacker

Een bètasite van Facebook blijkt een ernstig beveiligingslek te hebben bevat, waarmee het mogelijk was toegang te krijgen tot ieder Facebook account. Een aanvaller had hier alleen het e-mailadres of telefoonnummer dat aan een account is gekoppeld voor nodig.

Het probleem is ontdekt door beveiligingsonderzoeker Anand Prakash, die zijn bevindingen beschrijft in een blogpost. De onderzoeker heeft het lek gemeld bij Facebook, dat het probleem heeft opgelost. Prakash heeft 15.000 dollar ontvangen voor zijn ontdekking.

Zes cijferige code

Wie het wachtwoord van een Facebook account wil resetten moet zijn e-mailadres of telefoonnummer voeren. Facebook stuurt vervolgens een code van zes cijfers op, die moet worden ingevoerd om een nieuw wachtwoord te kunnen instellen. Op Facebook.com kan een gebruiker 10 tot 12 verschillende codes invoeren voordat deze pogingen worden geblokkeerd.

Op een bètasite van Facebook bleek deze beperking echter te ontbreken en kan de code oneindig vaak worden ingevoerd. Dit maakt het mogelijk een script te schrijven dat geheel automatisch alle mogelijke codes probeert in te voeren, totdat het wachtwoord van het account met succes is veranderd. Prakash probeerde de aanval uit op zijn eigen Facebook account en wist zijn wachtwoord met succes te wijzigen. Het probleem is op 22 februari door Prakash bij Facebook gemeld en zou binnen een dag zijn opgelost.

Meer over
Lees ook
CISO community en CISO Platform officieel opgericht

CISO community en CISO Platform officieel opgericht

De CISO community en het bijbehorende CISO Platform Nederland zijn een feit. De nieuwe combinatie ondersteunt Chief Information Security Officers (CISO’s) van Nederlandse bedrijven in verschillende sectoren, non-profitorganisaties en de overheid. Doel is samenwerken, kennisdelen, wederzijdse ondersteuning, competentieopbouw, cyberbeveiligingsbehee1

SurePay's Developer Portal helpt banken en bedrijven fraude te voorkomen

SurePay's Developer Portal helpt banken en bedrijven fraude te voorkomen

SurePay, de uitvinder van de IBAN-Naam Check, introduceert een Developer Portal. Bedrijven en overheidsorganisaties zijn steeds meer bezig met fraudepreventie.

Qualys lanceert TruRisk, FixIT en ProtectIT in AWS Marketplace

Qualys lanceert TruRisk, FixIT en ProtectIT in AWS Marketplace

Qualys maakt VMDR TruRisk, FixIT en ProtectIT beschikbaar in AWS Marketplace. Met deze pakketten voor het beheer van kwetsbaarheden, patches en EDR richt Qualys zich op het mkb-segment, aangezien een toenemend aantal cyberaanvallen gericht is tegen kleine bedrijven.