Een in het Verenigd Koninkrijk gevestigde beveiligingsonderzoeker met de naam “fin1te” heeft zichzelf 20.000 dollar verdiend nadat hij een manier had ontdekt om elke account op Facebook te hacken, gewoon door een sms te sturen naar zijn mobiele telefoon.

Dit had – uiteraard – onmogelijk moeten zijn, maar als gevolg van een zwakte in Facebook’s warrige nest van miljoenen en miljoenen regels code, waren potentieel honderden miljoenen accounts kwetsbaar voor kaping door de eenvoudige techniek.

Fin1te (echte naam Jack Whitten) heeft op zijn blog gedocumenteerd hoe de hack werkt.

Het eerste wat je moet doen is de letter “F” in een sms-bericht naar Facebook sturen, alsof je je mobiele telefoon legitiem registreert bij het sociale netwerk. In het Verenigd Koninkrijk is de sms-snelcode voor Facebook 32665.

Facebook antwoordt via sms met een bevestigingscode van acht tekens.

Het normale verloop van de procedure is dat je die bevestigingscode op een Facebook-formulier invult en vervolgens verder gaat…

Maar Fin1te ontdekte dat er een kwetsbaarheid in dat formulier zat, die kon worden misbruikt om de bevestigingscode die hij van Facebook per sms had ontvangen te gebruiken voor het account van *iedereen* anders.

Wat fin1te had ontdekt was dat een van de elementen van het mobiele activeringsformulier, als parameter, de profiel-ID van de gebruiker bevatte. Dat is het unieke nummer dat is gekoppeld aan de account van het beoogde doelwit.

Wijzig de profiel-ID die door dat formulier naar Facebook wordt gestuurd, en het sociale netwerk kan worden misleid door te denken dat je iemand anders bent die een mobiele telefoon aan zijn account koppelt.

Daarom is voor de eerste stap die nodig is om iemands account op deze manier te kapen, de unieke Facebook-profiel-ID van je slachtoffer nodig.

Als je niet weet wat iemands numerieke profiel-ID is, kun je het altijd opzoeken met behulp van vrij verkrijgbare tools – ze worden niet verondersteld een geheim te zijn.

Zeker, Fin1te kon de profiel-ID-parameter die zijn browser naar Facebook stuurde, vervangen door het unieke nummer van de account waartoe hij toegang wilde…

.. en binnen enkele seconden kreeg zijn mobiele telefoon een sms ter bevestiging dat hij het apparaat met succes aan de account had gekoppeld.

Succes. Aan een Facebook-account is nu het mobiele telefoonnummer van een derde gekoppeld. Zonder enige noodzaak voor malware of phishing. Er hoefde alleen maar een sms-berichtje te worden verstuurd.

De laatste fase van de accountkaping is eenvoudig. Facebook biedt de mogelijkheid om in te loggen met een mobiel nummer in plaats van een e-mailadres. Bij het inloggen voer je het mobiele nummer in dat je aan de account van het slachtoffer hebt gekoppeld en vraag je via sms om een wachtwoordreset.

Zeker genoeg ontdekte Fin1te dat Facebook hem de wachtwoordresetcode voor de account had gestuurd – wat betekende dat hij het wachtwoord van de account kon wijzigen en de legitieme gebruiker kon uitsluiten.

Dit is een ongelooflijk eenvoudige maar krachtige manier om iemands Facebook-account over te nemen.

Het goede nieuws is dat fin1te de kwetsbaarheid op verantwoorde wijze aan Facebook heeft onthuld, in plaats van deze te misbruiken voor kwaadaardige bedoelingen of deze aan andere partijen te verkopen. Facebook heeft het probleem verholpen, zodat anderen niet langer kunnen profiteren van dit ernstige veiligheidslek. Voor zijn moeite heeft Facebook Fin1te een flinke premie van $20.000 toegekend en de kwetsbaarheid verholpen.

Maar het lijdt geen twijfel dat Fin1te’s ontdekking op de ondergrondse markt, misschien verkocht aan cybercriminelen of inlichtingendiensten, hem nog meer geld had kunnen opleveren.

Wie weet welke andere ernstige beveiligingslekken er binnen Facebook kunnen liggen die niet op verantwoorde wijze zijn gemeld aan het beveiligingsteam van het bedrijf?

Als u erover denkt om Facebook te verlaten, waarom luistert u dan niet naar deze “Smashing Security”-podcast die we hebben opgenomen:

Vond u dit artikel interessant? Volg Graham Cluley op Twitter om meer van onze exclusieve content te lezen.