Facebook-Sicherheitslücke gewährte Zugriff auf 1,6 Milliarden Konten

Der Hacker Anand Prakash fand die Lücke, mit der ihm jedes Facebook-Profil offen stand. Er beschreibt seine Entdeckung so:

"Ich hatte vollen Zugriff auf die Accounts anderer Nutzer durch die Erstellung eines neuen Passwortes", schreibt Prakash. "So war es mir möglich, Nachrichten zu lesen, Kreditkartendaten zu sehen, die im Menü unter Bezahlinformationen gespeichert waren, persönliche Fotos anzusehen und so weiter."

Zum Glück für Facebook und seine zahlreichen Nutzer gehört Prakash zum Typ der "White Hat"-Hacker, das bedeutet, er nutzte sein Wissen nicht aus, um Kapital daraus zu schlagen. Nach seiner Fehlermeldung an Facebook konnte das Unternehmen die Lücke umgehend schließen. Für seine Meldung wurden Prakash eine Belohnung von 15 000 US-Dollar versprochen.

Fehler trat in Beta-Version auf

Bei der Untersuchung der Testseiten beta.facebook.com und mbasic.beta.facebook.com, die noch nicht für alle freigeschaltet sind, wurde der IT-Sicherheitsingenieur fündig. Prakash testete das sogenannte „Code-Raten“ mit seinem eigenen Profil und konnte erfolgreich ein neues Passwort für sein Profil erstellen.

Der IT-Sicherheitsingenieur Prakash ist ein sehr erfolgreicher "White Hat"-Hacker. Er meldete bereits Schwachstellen an den IT-Dienstleister RedHat, den Datenspeicherdienst Dropbox, das Online-Netzwerk Twitter oder den Zahlungsdienst Paypal und erhielt regelmäßig Prämien.

Erste Prämie von Facebook als Student erhalten

Prakash hat sich schon als jugendlicher intensiv mit Computern beschäftigt. Seine ersten Erfolge bei der Fehlerentdeckung und Fehlermeldung erzielte er schon während seines Studiums am Vellore Institute of Technology im Süden Indiens, als er von Facebook eine 500 US-Dollar Prämie erhielt. Seit dieser Zeit kennt er die Prämienprogramme für Softwarefehler "Bug Bountys". Schon 2013, 2014 und 2015 meldete er dem Netzwerk ebenfalls Schwachstellen.