Hacker: "Ik kon alle Facebook-accounts hacken"

EPA
Een Indische hacker zegt een bug gevonden te hebben op de testsite van Facebook, waardoor hij alle accounts had kunnen hacken. Via de functie 'Paswoord vergeten?' slaagde hij erin in te loggen op een Facebookpagina, waarna hij alle berichten, persoonlijke foto's en zelfs bankgegevens kon bekijken.

Anand Prakash gaf het probleem door via het 'bug bounty'-programma van Facebook. Hij werd beloond met 15.000 dollar.

In een blogpost legt hij uit hoe hij een manier ontdekte om te kunnen inloggen op om het even welke Facebook-account. Wie zijn paswoord vergeet, kan via e-mail of sms een herstelcode opvragen. Normaal krijgt u tien pogingen om daarmee in te loggen en uw paswoord te resetten, alvorens uw account geblokkeerd wordt. De hacker ontdekte echter dat het aantal pogingen op de testsite niet beperkt was. Hij schreef een script dat automatisch alle mogelijke combinaties probeerde, en kon zo inloggen op een account.

4,3 miljoen euro

Volgens Facebook was het lek op de testsite al na 72 uur gedicht. De fout gebeurde wellicht toen er een wijziging werd doorgevoerd op het testplatform. Voor zover bekend, werd er geen misbruik van gemaakt.

Het bedrijf laat intussen weten blij te zijn dat het 'bug bounty'-programma werkt. Sinds de start in 2011 keerde Facebook al 4,3 miljoen dollar uit aan 800 'bounty hunters'.