Facebook dicht lek waarmee accounts overgenomen konden worden

Facebook heeft een lek gedicht waarmee kwaadwillenden accounts konden overnemen. De methode combineerde twee bugs waarbij de gebruikers-id ontfutseld werd en de verificatiecode via bruteforce verkregen werd. De ontdekker kreeg 40.000 dollar.

Het platform geeft niet veel details over de bugs, maar zegt dat voor de eerste bug gebruikers alleen een e-mailadres of een telefoonnummer nodig hadden om achter de gebruikers-id te kunnen komen. Daarna konden ze het wachtwoord van een account resetten, door de verificatiecode waarmee een telefoonnummer gevalideerd wordt te bruteforcen. Vervolgens konden ze een account overnemen, schrijft Facebooks Bug Bounty-account.

Deze methode werkt volgens Facebook niet meer, al geeft het bedrijf niet aan of het beide bugs heeft gefixt of niet. Facebook zegt geen aanwijzingen te hebben dat deze methode in de praktijk is misbruikt.

Naast de methode om accounts over te kunnen nemen, heeft Facebook een bug opgelost waarmee telefoonnummers en e-mailadressen voor meer gebruikers zichtbaar waren dan had gemoeten. Wanneer gebruikers nieuwe telefoonnummers en e-mailadressen intoetsen in Facebook, was de defaultinstelling dat deze alleen zichtbaar zouden zijn voor de gebruiker zelf.

In de praktijk bleek echter dat Facebookvrienden deze gegevens ook in konden zien, in tegenstelling tot wat de defaultinstelling aangaf. Facebook zegt deze fout te hebben opgelost. Telefoonnummers en e-mailadressen die nu in Facebook worden toegevoegd, worden standaard alleen aan de gebruiker getoond. Ook eerdere gegevens die onder de defaultinstelling zijn toegevoegd, worden nu niet langer aan Facebookvrienden weergegeven.

Facebook zegt verder een fix te hebben geïmplementeerd bij meerdere Facebook-diensten die dergelijke defaultinstellingsproblemen in de toekomst moet voorkomen. Het platform zegt geen bewijs te hebben dat de foutief getoonde persoonsgegevens via scraping zijn buitgemaakt. De beveiligingsonderzoeker die dit probleem aankaartte, kreeg 15.000 dollar van het platform.

Verder heeft het platform nieuw beleid geïntroduceerd rondom bugs die contactinformatie openbaar maken die alleen voor de gebruiker zelf of voor vrienden bekend zou mogen zijn. Met contactinformatie doelt Facebook op data als telefoonnummers en e-mailadressen. Vanaf nu krijgen onderzoekers maximaal tienduizend dollar als beloning voor het melden van dergelijke bugs. Het exacte bedrag is onder meer afhankelijk van hoe eenvoudig het lek te misbruiken is en of het om consumenten of om bedrijven gaat. In het geval van bedrijven is de beloning lager, aangezien deze data volgens Facebook vaker openbaar te vinden of te gokken is.

Door Hayte Hugo

Redacteur

03-09-2021 • 15:02

25

Reacties (25)

Sorteer op:

Weergave:

Een tijdje terug kreeg ik in de middag ineens een SMS van facebook met een 2FA code, ik heb toen direct op mijn computer mijn wachtwoord ge-reset maar ik zag toen later met een email dat mijn wachtwoord een paar minuten na die SMS ook al verandert was. Ik vraag me nu echt af of deze bug bij mij gebruikt is want ik was er nog steeds niet uit hoe iemand ooit mijn wachtwoord heeft kunnen veranderen zonder mijn 2FA code.
Heb al een hele tijd geen FB account meer, maar is er geen 'uitgebreide' recoverymethode voor een wachtwoord als je én je wachtwoord kwijt bent én je e-mailadres waarop je geregistreerd stond? Indien men vervolgens de vragen (ik neem aan dat er vragen zullen zijn) goed raad of zelfs weet, dan kan men een 2FA compleet omzeilen.
Ik meen me te herinneren dat FB een optie had op basis van profiel (foto's) van een aantal vrienden waar je veel/het meeste contact mee had ofzo. Kan me niet precies meer herinneren hoe dit ging, dit was jaren geleden (ik heb ondertussen als 2+ jaar niet meer ingelogd op m'n account).
Ik ben uit mijn account gesloten door een hacker die 2FA aangezet heeft. Facebook laat je dan een foto van je ID (of andere officiële en niet officiële documenten) maar die procedure werkt meer niet dan wel.
SMS is volgens mij goed af te vangen door het klonen van je nummer. Hoe het precies werkt kan ik je niet vertellen, maar SMS als verificatie is zeker niet waterdicht.
Het klonen van telefoons kan tegenwoordig niet meer zo makkelijk, maar je kunt 2FA over SMS verslaan door het telefoonnummer over te nemen (zomaar porteren van nummers was tot een paar jaar terug heel makkelijk, nu moer je er veel meer voor doen) of door iemand die voor je provider of een onderaannemer daarvan werkt te overtuigen dat jij je slachtoffer bent en dat je je telefoon kwijt bent geraakt en een nieuwe SIM-kaart nodig hebt. Als je dit slim aanpakt zoek je een vriend die werkt voor de provider, of kom je 's nachts met een alcohollucht de winkel binnen als je slachtoffer waarschijnlijk slaapt. Dan even de recovery SMS opvragen en je bent klaar. Het wordt momenteel erg veel gedaan bij mensen met cryptowallets die met SMS zijn beschermd.

Andere manieren van 2FA zoals TOTP en fysieke sleutels zijn wel veiliger maar hebben ook nadelen. Je zou niet de eerste zijn die zijn 2FA-sleutel letterlijk kwijtraakt (of het nu je telefoon of een USB-dongel is) en als dat gebeurt, ben je flink de sigaar. Natuurlijk hebben anderen vast ergens die herstelcodes opgeslagen, maar ik kan ze zelf in elk geval nooit vinden als ik ze echt nodig heb.

Voor iets matig onbelangrijks als Facebook zou ik zelf SMS nog wel als veilig genoeg zien, eigenlijk. Zoveel belangrijks is er waarschijnlijk ook niet op te vinden (tenzij je last hebt van een stalker) en SMS is vooral heel erg makkelijk. Iedereen moet daar zijn eigen oordeel over vellen, natuurlijk.

[Reactie gewijzigd door GertMenkel op 26 juli 2024 12:40]

ik gebruik authy voor 2FA, kan je nooit plots al uw TOTP tokens kwijt zijn, want je hebt ze overal beschikbaar, gesynchroniseerd.
Het nadeel van authy is zijn grootste voordeel: je kunt met een wachtwoord en SMS-toegang weer bij alle tokens komen. Je moet een heel veilig wachtwoord gebruiken dat nergens staat opgeslagen wil je Authy veilig kunnen gebruiken, en ik ben een beetje bang dat veel mensen de sterkte van hun wachtwoord op dat vlak overschatten.

Het is wel makkelijk inderdaad, maar het haalt eigenlijk een beetje de tweede factor van je tweefactorauthenticatie. Dat gezegd hebbende is het volgens mij wel de makkelijkste TOTP-app voor leken, dus ik weet niet echt wat ik ervan moet vinden.
gebruiksgemak en veiligheid zijn nog altijd zaken die moeilijk te combineren zijn helaas...
Zaken die werken zoals de Microsoft authenticator of authenticator van Google zelf zijn de makkelijkste. Gewoon smartphone ontgrendelen en op OK klikken.
Maar de meeste sites ondersteunen dit niet... Heb toch een 20 tal 2FA tokens in mijn authy... als ik die allemaal telkens opnieuw zou moeten aanmaken bij het resetten of veranderen van smartphone...
Ik vind Google Authenticator anders nog makkelijker voor leken. Geen gezeik met accounts of synchronisaties, gewoon code scannen en klaar. Je kunt ook tokens overzetten als je beide telefoons (oud en nieuw) nog werken. Een backup van je tokens buiten je telefoon om is wat lastig, maar als je Android gebruikt en rooted bent kun je gewoon de SQLite-database kopiëren. :D
Was je wachtwoord voor of na je eigen wijziging dan ook werkelijk veranderd?
Want in het eerste geval had je dat zelf moeten opmerken doordat je wachtwoord niet meer werkte toen je het wilde wiizigen. In het tweede geval had je niet met je eigen ingestelde nieuwe wachtwoord kunnen inloggen.
Zelfde hier: op 21 Januari kreeg ik deze mail:
Hoi *****,

Je kunt deze code invoeren om je aan te melden bij Facebook:
77271751
Als je niet probeerde om je aan te melden, laat het ons dan weten
Ik vond dit natuurlijk ook heel verdacht (zeker omdat ik overal een uniek wachtwoord heb), en leg toch ook de link met dit artikel.....

Heb meteen wachtwoord gewijzigd en verder geen last van gehad.

[Reactie gewijzigd door Jim80 op 26 juli 2024 12:40]

Telefoonnummers en e-mailadressen die nu in Facebook worden toegevoegd, worden standaard alleen aan de gebruiker getoond.
Wait, what? Dus er zijn mensen die Facebook gebruiken om hun eigen e-mailadres en telefoonnummer te onthouden? Als je je telefoonnummer niet wilt delen, is het toch veel handiger om het überhaupt niet aan Facebook toe te voegen?

[Reactie gewijzigd door PhilipsFan op 26 juli 2024 12:40]

Volgens mij heb je het e-mailadres nodig om een account aan te kunnen maken en een mobiel nummer voor de 2fa-methode van facebook. Dat is de reden dat ze die gegevens invullen. Daarnaast vullen veel mensen denk ik alles in dat in een formulier gevraagd wordt zonder na te denken over het waarom.
Facebook heeft mijn nummer niet, en die krijgen ze ook niet. Mijn email en wachtwoord vind ik voldoende info voor facebook.
Ook niet via whatsapp? Of via jouw contactpersonen die jou in hun adresboek hebben staan en koppelen met facebook (messenger) en/of whatsapp :+ ? Heb zelf al jaren geleden afscheid genomen van facebook en ben blij toe :P

[Reactie gewijzigd door mrdemc op 26 juli 2024 12:40]

Dan heeft Facebook nog steeds jouw info via de contacten van anderen ;)
Facebook/Whatsapp heeft jou nummer via vrienden en kennissen.
Je kan de vraag nog veel concreter maken: na alle schandalen & leugens en wat facebook feitelijk is - spyware, zijn er nog steeds mensen die facebook gebruiken?
ja, ik gebruik het om later als gedupeerde nog te kunnen profiteren van financiele compensaties die later als gevolg van de massa claims, zullen worden toegekend :)

[Reactie gewijzigd door pastafan op 26 juli 2024 12:40]

na alles wat we weten over tracking cookies, zijn er nog die surfen?
Ja, met Firefox.
Facebook eist dit voor zover ik weet voor accountherstel en dergelijke. Uiteraard vinden ze het ongetwijfeld fijn om je nummer te hebben.
Wat ingewikkeld, volgens mij kun je nog altijd het beste voor/achternaam, postcode, huisdier, geboortedatum etc proberen om een account over te nemen.

Op dit item kan niet meer gereageerd worden.