Hoe hack je elke Facebook-account in minder dan een minuut, door slechts één sms te sturen

, Author

Facebook mobiele telefoonEen in het Verenigd Koninkrijk gevestigde beveiligingsonderzoeker met de naam “fin1te” heeft zichzelf 20.000 dollar verdiend nadat hij een manier had ontdekt om elke account op Facebook te hacken, gewoon door een sms te sturen naar zijn mobiele telefoon.

Dit had – uiteraard – onmogelijk moeten zijn, maar als gevolg van een zwakte in Facebook’s warrige nest van miljoenen en miljoenen regels code, waren potentieel honderden miljoenen accounts kwetsbaar voor kaping door de eenvoudige techniek.

Fin1te (echte naam Jack Whitten) heeft op zijn blog gedocumenteerd hoe de hack werkt.

Het eerste wat je moet doen is de letter “F” in een sms-bericht naar Facebook sturen, alsof je je mobiele telefoon legitiem registreert bij het sociale netwerk. In het Verenigd Koninkrijk is de sms-snelcode voor Facebook 32665.

Send an SMS to Facebook

Facebook antwoordt via sms met een bevestigingscode van acht tekens.

Het normale verloop van de procedure is dat je die bevestigingscode op een Facebook-formulier invult en vervolgens verder gaat…

Facebook-activeringsformulier voor mobiele telefoons

Maar Fin1te ontdekte dat er een kwetsbaarheid in dat formulier zat, die kon worden misbruikt om de bevestigingscode die hij van Facebook per sms had ontvangen te gebruiken voor het account van *iedereen* anders.

Wat fin1te had ontdekt was dat een van de elementen van het mobiele activeringsformulier, als parameter, de profiel-ID van de gebruiker bevatte. Dat is het unieke nummer dat is gekoppeld aan de account van het beoogde doelwit.

Profiel-ID-parameter in formulier

Wijzig de profiel-ID die door dat formulier naar Facebook wordt gestuurd, en het sociale netwerk kan worden misleid door te denken dat je iemand anders bent die een mobiele telefoon aan zijn account koppelt.

Daarom is voor de eerste stap die nodig is om iemands account op deze manier te kapen, de unieke Facebook-profiel-ID van je slachtoffer nodig.

Als je niet weet wat iemands numerieke profiel-ID is, kun je het altijd opzoeken met behulp van vrij verkrijgbare tools – ze worden niet verondersteld een geheim te zijn.

Vind profiel-ID van Facebook

Zeker, Fin1te kon de profiel-ID-parameter die zijn browser naar Facebook stuurde, vervangen door het unieke nummer van de account waartoe hij toegang wilde…

Facebook hack data

.. en binnen enkele seconden kreeg zijn mobiele telefoon een sms ter bevestiging dat hij het apparaat met succes aan de account had gekoppeld.

Facebook-bevestigings-sms

Succes. Aan een Facebook-account is nu het mobiele telefoonnummer van een derde gekoppeld. Zonder enige noodzaak voor malware of phishing. Er hoefde alleen maar een sms-berichtje te worden verstuurd.

De laatste fase van de accountkaping is eenvoudig. Facebook biedt de mogelijkheid om in te loggen met een mobiel nummer in plaats van een e-mailadres. Bij het inloggen voer je het mobiele nummer in dat je aan de account van het slachtoffer hebt gekoppeld en vraag je via sms om een wachtwoordreset.

Facebook-wachtwoordresetcode

Zeker genoeg ontdekte Fin1te dat Facebook hem de wachtwoordresetcode voor de account had gestuurd – wat betekende dat hij het wachtwoord van de account kon wijzigen en de legitieme gebruiker kon uitsluiten.

Dit is een ongelooflijk eenvoudige maar krachtige manier om iemands Facebook-account over te nemen.

Het goede nieuws is dat fin1te de kwetsbaarheid op verantwoorde wijze aan Facebook heeft onthuld, in plaats van deze te misbruiken voor kwaadaardige bedoelingen of deze aan andere partijen te verkopen. Facebook heeft het probleem verholpen, zodat anderen niet langer kunnen profiteren van dit ernstige veiligheidslek. Voor zijn moeite heeft Facebook Fin1te een flinke premie van $20.000 toegekend en de kwetsbaarheid verholpen.

Maar het lijdt geen twijfel dat Fin1te’s ontdekking op de ondergrondse markt, misschien verkocht aan cybercriminelen of inlichtingendiensten, hem nog meer geld had kunnen opleveren.

Wie weet welke andere ernstige beveiligingslekken er binnen Facebook kunnen liggen die niet op verantwoorde wijze zijn gemeld aan het beveiligingsteam van het bedrijf?

Als u erover denkt om Facebook te verlaten, waarom luistert u dan niet naar deze “Smashing Security”-podcast die we hebben opgenomen:

Smashing Security #75: ‘Quitting Facebook’

Uw browser ondersteunt dit audio-element niet.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/3e3e8a52-4c1e-45c7-8271-8c13eb312039.mp3

Luister op Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | Other… | RSS
Meer afleveringen…

Vond u dit artikel interessant? Volg Graham Cluley op Twitter om meer van onze exclusieve content te lezen.

Graham Cluley is een veteraan in de anti-virusindustrie. Hij heeft voor een aantal beveiligingsbedrijven gewerkt sinds het begin van de jaren negentig toen hij de allereerste versie van Dr Solomon’s Anti-Virus Toolkit voor Windows schreef. Nu is hij een onafhankelijke beveiligingsanalist, treedt hij regelmatig op in de media en is hij een internationale spreker over computerbeveiliging, hackers en online privacy. Volg hem op Twitter op @gcluley, of stuur hem een e-mail.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.