En brittisk säkerhetsforskare med namnet ”fin1te” har tjänat 20 000 dollar efter att ha upptäckt hur man kan hacka sig in i alla Facebook-konton genom att skicka ett sms till sin mobiltelefon.

Detta borde – naturligtvis – ha varit omöjligt, men på grund av en svaghet i Facebooks virrvarr av miljontals och åter miljontals rader kod var potentiellt hundratals miljoner konton sårbara för kapning genom den enkla tekniken.

Fin1te (egentligen Jack Whitten) har dokumenterat hur hackningen fungerar på sin blogg.

Det första man måste göra är att skicka bokstaven ”F” i ett sms-meddelande till Facebook, som om man legitimt skulle registrera sin mobiltelefon hos det sociala nätverket. I Storbritannien är SMS-kortkoden till Facebook 32665.

Facebook svarar via SMS med en bekräftelsekod på åtta tecken.

Det normala händelseförloppet skulle vara att skriva in den bekräftelsekoden i ett Facebook-formulär och gå vidare…

Men fin1te upptäckte att det fanns en sårbarhet i det formuläret, som kunde utnyttjas för att använda bekräftelsekoden som Facebook skickat till honom via SMS med *någon* annans konto.

Vad fin1te hade upptäckt var att ett av elementen i mobilaktiveringsformuläret innehöll, som en parameter, användarens profil-ID. Det är det unika nummer som är kopplat till ditt tänkta måls konto.

Förändra det profil-ID som skickas av formuläret till Facebook och det sociala nätverket kan luras att tro att du är någon annan som kopplar en mobiltelefon till sitt konto.

Det första steget som krävs för att kapa någons konto på det här sättet kräver därför offrets unika profil-ID från Facebook.

Om du inte vet vad någons numeriska profil-ID är kan du alltid slå upp det med hjälp av fritt tillgängliga verktyg – de ska inte vara en hemlighet.

Säkerligen kunde fin1te ersätta parametern för profil-ID som hans webbläsare skickade till Facebook med det unika numret för det konto han ville komma åt…

.. och inom några sekunder fick hans mobiltelefon ett SMS som bekräftade att han hade lyckats ansluta enheten till kontot.

Succé. Ett Facebook-konto har nu en tredje parts mobiltelefonnummer kopplat till det. Utan något behov av skadlig kod eller nätfiske. Allt som gjordes var att skicka ett sms.

Det sista steget i kontokapningen är okomplicerat. Facebook låter dig logga in i sitt system med hjälp av ditt mobilnummer i stället för en e-postadress om du vill, så vid inloggningen anger du det mobilnummer som du har kopplat till offrets konto och begär en återställning av lösenordet via sms.

Säkerligen upptäckte fin1te att Facebook i vederbörlig ordning skickade honom koden för återställning av lösenordet för kontot – vilket innebar att han kunde ändra kontots lösenord och låsa ut den legitima användaren.

Detta är ett otroligt enkelt men kraftfullt sätt att ta över någons Facebook-konto.

Den goda nyheten är att fin1te avslöjade sårbarheten på ett ansvarsfullt sätt till Facebook, i stället för att utnyttja den i onda syften eller sälja den till andra parter. Facebook har åtgärdat problemet så att andra inte längre kan dra nytta av detta allvarliga säkerhetshål. För sina besvär tilldelade Facebook fin1te en rejäl bug bounty värd 20 000 dollar och fixade sårbarheten.

Men det råder ingen tvekan om att på den underjordiska marknaden, kanske såld till cyberkriminella eller underrättelsetjänster, skulle fin1tes upptäckt ha kunnat ge honom ännu mer pengar.

Vem vet vilka andra allvarliga säkerhetshål som kan finnas på Facebook och som inte har rapporterats på ett ansvarsfullt sätt till företagets säkerhetsteam?

Om du funderar på att lämna Facebook, varför inte lyssna på denna ”Smashing Security”-podcast som vi spelade in:

Fanns den här artikeln intressant? Följ Graham Cluley på Twitter för att läsa mer av det exklusiva innehåll vi publicerar.