Soziales Netzwerk Indischer Hacker hatte Zugriff auf alle 1,6 Milliarden Facebook-Konten

  • Ein Hacker hat eine Sicherheitslücke entdeckt, mit der er die Kontrolle über alle Facebook-Profile hätte übernehmen können.
  • Er nutzte seinen Fund nicht aus, sondern meldete dem Unternehmen die Lücke und wurde dafür belohnt.
Von Jessica Binsch

Sicherheitslücken gehören zu Computerprogrammen dazu. In praktisch jeder Software finden sich Fehler, die mehr oder weniger schwerwiegende Folgen haben können. Besonders unangenehm für Nutzer sind Sicherheitslücken in Online-Diensten, die persönliche Informationen wie Passwörter oder Kreditkartendaten für Fremde offenlegen.

So eine Lücke hat der indische Hacker Anand Prakash entdeckt. Er fand einen Fehler bei Facebook, mit dem er jedes Facebook-Profil hätte kapern können, wie er auf seinem Blog berichtet.

"Ich hatte vollen Zugriff auf die Accounts anderer Nutzer durch die Erstellung eines neuen Passwortes", schreibt Prakash. "So war es mir möglich, Nachrichten zu lesen, Kreditkartendaten zu sehen, die im Menü unter Bezahlinformationen gespeichert waren, persönliche Fotos anzusehen und so weiter."

Prakash ist ein "White Hat"-Hacker und nutzt die Lücke nicht aus

Die gute Nachricht ist, dass Prakash die Lücke nicht ausnutzte. Er verkaufte sein Wissen auch nicht an andere weiter, die die Informationen hätten missbrauchen können. Stattdessen meldete er den Fehler an Facebook. Das Unternehmen schloss die Lücke am nächsten Tag und versprach ihm für seine Entdeckung eine Belohnung von 15 000 US-Dollar (knapp 13 800 Euro). Denn Prakash sucht Sicherheitslücken nicht, um Dienste oder Software zu hacken. Er meldet die Fehler an die Unternehmen und wird dafür mit Prämien belohnt.

Gericht verbietet heimlichen Datentransfer über Facebooks Like-Button

"Keiner weiß, was Facebook mit den Daten macht", sagen Verbraucherschützer. Richter geben ihnen in einer Klage gegen Peek & Cloppenburg recht. mehr ...

Zum Glück für die 1,5 Milliarden Facebook-Nutzer ist er ein sogenannter "White Hat"-Hacker. Findet er eine Sicherheitslücke, weist er die Firmen darauf hin. Sie können dann die Schwachstellen schließen. Andere Hacker, die als "Black Hats" bezeichnet werden, nutzen neu entdeckte Sicherheitslücken selbst aus oder verkaufen ihr Wissen auf dem Schwarzmarkt. Um das zu verhindern, loben viele IT-Unternehmen Belohnungen für Hacker wie Prakash aus.

Login in alle Facebook-Konten möglich

Die Schwachstelle hatte der IT-Sicherheitsingenieur in Facebooks Login-Prozess gefunden. Verlieren Nutzer ihr Passwort, können sie Handynummer oder E-Mail-Adresse eingeben, die sie mit ihrem Facebook-Profil verknüpft haben. Facebook verschickt dann eine sechsstellige Zahl an diesen Kontakt. Die Nutzer tippen die Zahl auf der Seite oder der App ein und können ein neues Passwort festlegen. Das soll sicherstellen, dass kein Fremder das Passwort zurücksetzt und den Account kapert.

Doch sechsstellige Codes können Computer leicht überwinden. Richtig programmiert, probieren sie so viele Kombinationen durch, bis die richtige Zahlenfolge dabei ist - eine sogenannte Brute-Force-Attacke (also mit "roher Gewalt"). Genau das versuchte Prakash zuerst. Allerdings hatte Facebook diese Möglichkeit bedacht und solche Einbruchsversuche mit der digitalen Brechstange blockiert. Nach 10 bis 12 Versuchen mit falschen Codes habe er keine weiteren Zahlenkombinationen mehr eingeben können, berichtet Prakash.