Ein britischer Sicherheitsforscher, der sich „fin1te“ nennt, hat sich selbst 20.000 Dollar verdient, nachdem er einen Weg aufgedeckt hat, wie man sich in jedes Facebook-Konto hacken kann, indem man einfach eine Handy-SMS sendet.

Dies sollte – natürlich – unmöglich sein, aber aufgrund einer Schwachstelle in Facebooks verworrenem Nest von Millionen und Abermillionen von Codezeilen waren potenziell Hunderte von Millionen Konten durch diese einfache Technik anfällig für eine Entführung.

Fin1te (richtiger Name Jack Whitten) hat in seinem Blog dokumentiert, wie der Hack funktioniert.

Das erste, was man tun muss, ist, den Buchstaben „F“ in einer SMS-Nachricht an Facebook zu senden, als ob man sein Mobiltelefon rechtmäßig bei dem sozialen Netzwerk registrieren würde. In Großbritannien lautet der SMS-Kurzcode für Facebook 32665.

Facebook antwortet per SMS mit einem achtstelligen Bestätigungscode.

Der normale Ablauf wäre, diesen Bestätigungscode in ein Facebook-Formular einzugeben und sich auf den Weg zu machen…

Aber fin1te entdeckte eine Schwachstelle in diesem Formular, die ausgenutzt werden konnte, um den Bestätigungscode, den er von Facebook per SMS erhalten hatte, mit dem Konto *jeder* anderen Person zu verwenden.

Fin1te hatte herausgefunden, dass eines der Elemente des mobilen Aktivierungsformulars als Parameter die Profil-ID des Nutzers enthielt. Das ist die eindeutige Nummer, die mit dem Konto der Zielperson verknüpft ist.

Ändern Sie die Profil-ID, die von diesem Formular an Facebook gesendet wird, und das soziale Netzwerk könnte glauben, dass Sie jemand anderes sind, der ein Mobiltelefon mit seinem Konto verknüpft.

Der erste Schritt, der erforderlich ist, um das Konto einer Person auf diese Weise zu kapern, erfordert also die eindeutige Facebook-Profil-ID des Opfers.

Wenn du die numerische Profil-ID einer Person nicht kennst, kannst du sie jederzeit mit frei verfügbaren Tools nachschlagen – sie soll ja nicht geheim sein.

Sicherlich war fin1te in der Lage, den Profil-ID-Parameter, der von seinem Browser an Facebook gesendet wurde, durch die eindeutige Nummer des Kontos zu ersetzen, auf das er zugreifen wollte…

.. und innerhalb von Sekunden erhielt sein Handy eine SMS, die bestätigte, dass er das Gerät erfolgreich mit dem Konto verbunden hatte.

Erfolg. Einem Facebook-Konto ist nun die Mobiltelefonnummer eines Dritten zugeordnet. Ganz ohne Malware oder Phishing. Alles, was getan werden musste, war das Versenden einer SMS.

Die letzte Phase des Account-Hijackings ist einfach zu bewerkstelligen. Facebook erlaubt es, sich mit seiner Handynummer statt mit einer E-Mail-Adresse anzumelden, wenn man das möchte. Also gibt man bei der Anmeldung die Handynummer ein, die man mit dem Konto des Opfers verknüpft hat, und fordert per SMS eine Passwortrücksetzung an.

Sicherlich entdeckte fin1te, dass Facebook ihm ordnungsgemäß den Passwortrücksetzungscode für das Konto schickte – was bedeutet, dass er das Passwort des Kontos ändern und den rechtmäßigen Nutzer aussperren konnte.

Dies ist eine unglaublich einfache, aber wirkungsvolle Methode, um das Facebook-Konto eines beliebigen Nutzers zu übernehmen.

Die gute Nachricht ist, dass fin1te die Sicherheitslücke verantwortungsbewusst an Facebook weitergegeben hat, anstatt sie für böswillige Zwecke auszunutzen oder sie an andere Parteien zu verkaufen. Facebook hat das Problem behoben, so dass andere diese gravierende Sicherheitslücke nicht mehr ausnutzen können. Für seine Mühen hat Facebook fin1te ein Bug Bounty in Höhe von 20.000 Dollar zugesprochen und die Schwachstelle behoben.

Aber es besteht kein Zweifel, dass fin1te mit seiner Entdeckung auf dem Untergrundmarkt, vielleicht an Cyberkriminelle oder Geheimdienste verkauft, noch mehr Geld hätte verdienen können.

Wer weiß, welche anderen schwerwiegenden Sicherheitslücken in Facebook stecken, die dem Sicherheitsteam des Unternehmens nicht verantwortungsvoll gemeldet wurden?

Wenn Sie darüber nachdenken, Facebook zu verlassen, hören Sie sich doch diesen „Smashing Security“-Podcast an, den wir aufgenommen haben:

Fandest du diesen Artikel interessant? Folgen Sie Graham Cluley auf Twitter, um mehr von unseren exklusiven Inhalten zu lesen.