Indische hacker kon bij alle Facebook-accounts die hij maar wou

Een Indische hacker kwam door een eenvoudige truc aan de kans om persoonlijke informatie, berichten, foto’s en zelfs bankgegevens van Facebook-gebruikers wereldwijd in te kijken. In plaats van de informatie te misbruiken besloot Anand Prakash de glitch keurig aan de sociale netwerkdienst te melden. In een blogpost vertelt hij hoe hij het voor elkaar kreeg. Verbazingwekkend simpel eigenlijk.

Gebruikers die al wel eens hun paswoord vergeten, kennen de manier om het op te lossen: via ‘Paswoord vergeten?’ kan je via sms of e-mail een herstelcode opvragen. Anand ontdekte dat via de testsite je in plaats van 10 pogingen oneindig vaak kan blijven proberen het juiste paswoord te gokken. Hij schreef een script dat alle mogelijke combinaties in een keer uitprobeerde en was zo ingelogd.

Anand was echter geen moment van plan om met deze info schade toe te richten en besloot de fout via het ‘bug bounty’-programma aan Facebook te melden. Hij kreeg hiervoor een beloning van 15.000 dollar. In het totaal heeft Facebook inmiddels al 4,3 miljoen dollar uitgekeerd aan gebruikers die dergelijke glitches en bugs doorgaven.

Voor zij die denken het ook eens een kans te geven zijn eraan voor de moeite. Facebook liet weten dat het probleem na 72 uur alweer verholpen was. Voor zover bekend is er geen misbruik van gemaakt en zijn de persoonlijke gegevens van gebruikers vooralsnog veilig verklaard.