Britse hacker krijgt 20.000 dollar van Facebook voor kwetsbaarheid
Het opsporen van beveiligingslekken kan een lucratieve bezigheid zijn. Een Britse hacker die het pseudoniem 'fin1te' gebruikt heeft van Facebook 20.000 dollar ontvangen nadat hij een ernstig beveiligingslek in het sociale netwerk meldde bij het bedrijf.
De hacker meldt op zijn blog een manier te hebben gevonden om de SMS-functie van Facebook te misbruiken. Dit terwijl gebruikers de functie kunnen gebruiken om het wachtwoord van hun Facebook-account te wijzigen. De hacker maakte een eigen Facebook-profiel aan en vroeg de SMS-functie aan door de letter "F" naar Facebook's Britse telefoonnummer '32665' te sturen. De onderzoeker ontving hierop een 8-cijferige verificatiecode van Facebook waarmee hij de SMS-functie voor zijn account kon activeren.
Fout in het authentificatievenster
De verificatiecode moet worden ingevuld in een authentificatievenster van Facebook. Dit venster bleek echter niet goed te zijn beveiligd. 'fin1te' wist de ID-code van zijn eigen profiel te wijzigen in de profiel-ID van een andere gebruiker. De onderzoeker kon hierdoor de SMS-functie voor een account van een ander activeren met zijn eigen telefoonnummer. Dit stelde hem in staat het wachtwoord van de gebruiker via SMS te wijzigen.
De hacker besloot het lek te melden aan Facebook, dat sinds enige tijd een beloningsprogramma heeft voor iedereen die kwetsbaarheden in het sociale netwerk meldt. Hierbij stelt Facebook wel de eis dat beveiligingsonderzoekers verantwoordelijk met het lek omspringen en hier dus discreet mee omspringen. fin1te ontving van Facebook 20.000 dollar voor het melden van de ernstige kwetsbaarheid.