Soziales Netzwerk:Indischer Hacker hatte Zugriff auf alle 1,6 Milliarden Facebook-Konten

  • Ein Hacker hat eine Sicherheitslücke entdeckt, mit der er die Kontrolle über alle Facebook-Profile hätte übernehmen können.
  • Er nutzte seinen Fund nicht aus, sondern meldete dem Unternehmen die Lücke und wurde dafür belohnt.

Von Jessica Binsch

Sicherheitslücken gehören zu Computerprogrammen dazu. In praktisch jeder Software finden sich Fehler, die mehr oder weniger schwerwiegende Folgen haben können. Besonders unangenehm für Nutzer sind Sicherheitslücken in Online-Diensten, die persönliche Informationen wie Passwörter oder Kreditkartendaten für Fremde offenlegen.

So eine Lücke hat der indische Hacker Anand Prakash entdeckt. Er fand einen Fehler bei Facebook, mit dem er jedes Facebook-Profil hätte kapern können, wie er auf seinem Blog berichtet.

"Ich hatte vollen Zugriff auf die Accounts anderer Nutzer durch die Erstellung eines neuen Passwortes", schreibt Prakash. "So war es mir möglich, Nachrichten zu lesen, Kreditkartendaten zu sehen, die im Menü unter Bezahlinformationen gespeichert waren, persönliche Fotos anzusehen und so weiter."

Prakash ist ein "White Hat"-Hacker und nutzt die Lücke nicht aus

Die gute Nachricht ist, dass Prakash die Lücke nicht ausnutzte. Er verkaufte sein Wissen auch nicht an andere weiter, die die Informationen hätten missbrauchen können. Stattdessen meldete er den Fehler an Facebook. Das Unternehmen schloss die Lücke am nächsten Tag und versprach ihm für seine Entdeckung eine Belohnung von 15 000 US-Dollar (knapp 13 800 Euro). Denn Prakash sucht Sicherheitslücken nicht, um Dienste oder Software zu hacken. Er meldet die Fehler an die Unternehmen und wird dafür mit Prämien belohnt.

Zum Glück für die 1,5 Milliarden Facebook-Nutzer ist er ein sogenannter "White Hat"-Hacker. Findet er eine Sicherheitslücke, weist er die Firmen darauf hin. Sie können dann die Schwachstellen schließen. Andere Hacker, die als "Black Hats" bezeichnet werden, nutzen neu entdeckte Sicherheitslücken selbst aus oder verkaufen ihr Wissen auf dem Schwarzmarkt. Um das zu verhindern, loben viele IT-Unternehmen Belohnungen für Hacker wie Prakash aus.

Login in alle Facebook-Konten möglich

Die Schwachstelle hatte der IT-Sicherheitsingenieur in Facebooks Login-Prozess gefunden. Verlieren Nutzer ihr Passwort, können sie Handynummer oder E-Mail-Adresse eingeben, die sie mit ihrem Facebook-Profil verknüpft haben. Facebook verschickt dann eine sechsstellige Zahl an diesen Kontakt. Die Nutzer tippen die Zahl auf der Seite oder der App ein und können ein neues Passwort festlegen. Das soll sicherstellen, dass kein Fremder das Passwort zurücksetzt und den Account kapert.

Doch sechsstellige Codes können Computer leicht überwinden. Richtig programmiert, probieren sie so viele Kombinationen durch, bis die richtige Zahlenfolge dabei ist - eine sogenannte Brute-Force-Attacke (also mit "roher Gewalt"). Genau das versuchte Prakash zuerst. Allerdings hatte Facebook diese Möglichkeit bedacht und solche Einbruchsversuche mit der digitalen Brechstange blockiert. Nach 10 bis 12 Versuchen mit falschen Codes habe er keine weiteren Zahlenkombinationen mehr eingeben können, berichtet Prakash.

Der Fehler versteckte sich auf einer Testseite von Facebook

Das galt allerdings nur für die reguläre Facebook-Seite. Prakash bemerkte, dass er auf den Seiten beta.facebook.com und mbasic.beta.facebook.com so viele Zahlencodes eingeben konnte, wie er wollte. Beides sind Testseiten, auf denen Facebook Funktionen ausprobiert, die noch nicht für alle freigeschaltet sind. Prakash testete das Code-Raten mit seinem eigenen Profil und siehe da: Es funktionierte. "Ich konnte erfolgreich ein neues Passwort für mein Profil erstellen", schreibt er.

Prakash ist als "White Hat" ziemlich erfolgreich. Er meldete bereits Schwachstellen an den IT-Dienstleister RedHat, den Datenspeicherdienst Dropbox, das Online-Netzwerk Twitter oder den Zahlungsdienst Paypal. Regelmäßig sammelt er dafür Prämien ein und wird von den Unternehmen lobend auf ihren Webseiten erwähnt. Es geht also um Geld und Ehre. Auch sein eigentlicher Job dreht sich um das Thema Sicherheit. Prakash arbeitet als Sicherheitsingenieur bei der Einkaufsseite Flipkart in der Millionenstadt Bangalore. Flipkart zählt zu den beliebtesten Webseiten Indiens, dort gibt es von Fernsehern über Mode bis hin zu Möbeln fast alles.

Für den ersten Fehlerbericht zahlte Facebook 500 US-Dollar

Schon als Jugendlicher habe er sich intensiv mit Computern beschäftigt, schreibt die indische Webseite Yourstory in einem Porträt Prakashs. Während seines Studiums am Vellore Institute of Technology im Süden Indiens habe er anderen Studenten geholfen, Daten-Höchstgrenzen im Uni-Netzwerk zu umgehen. Einen schlechten Eindruck hat er deswegen nicht hinterlassen. Die Universität berichtet stolz von der Prämie, die ihr Absolvent von Facebook bekommen hat.

Auf die Prämienprogramme für Softwarefehler, die "Bug Bountys" genannt werden, sei Prakash während seines Studiums gestoßen, schreibt Yourstory. Seinen ersten Fehlerbericht habe er an Facebook geschickt und dafür 500 US-Dollar bekommen. Überhaupt tut er einiges, um dessen Nutzer vor anderen Hackern zu schützen. Schon 2013, 2014 und 2015 meldete er dem Netzwerk ebenfalls Schwachstellen. So einen Hacker wünscht sich jedes IT-Unternehmen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: