Februar 2024 hat „Bounty Hunter“-Hacker namens Samip Aryal eine kritische Zero-Click-Sicherheitslücke entdeckt, die es Hackern ermöglicht hätte, jedes Facebook-Konto zu übernehmen. Diese Sicherheitslücke wurde 2024 auf Platz eins in der Facebook Hall of Fame eingestuft. Die Schwachstelle wurde als Problem bei der Begrenzungsraten in einem bestimmten Endpunkt des Passwort-Zurücksetzungsprozesses von Facebook beschrieben, die es Angreifern ermöglicht hätte, die Kontrolle über jedes Konto zu übernehmen, indem sie einen bestimmten Typ von Nonce erzwangen.
Die Ausnutzung beinhaltete die Manipulation der Zurücksetzungsfunktionalität des Passworts, indem ein Zurücksetzungs-E-Mail sowohl an das Opfer als auch an die E-Mail-Adresse des Angreifers gesendet wurde. Der Angreifer entdeckte dann einen kritischen Fehler, der es ihnen ermöglichte, die Ausnutzung weiter zu eskalieren, was letztendlich zu einer erfolgreichen Übernahme des Kontos führte.
Zusätzlich hat Meta, das Mutterunternehmen von Facebook, neue Richtlinien für die Auszahlung von Prämien bei Kontoübernahmen (ATO) veröffentlicht, wobei die maximale Auszahlung für eine ATO-Schwachstelle bei 130.000 US-Dollar liegt. Die tatsächliche Auszahlung hängt davon ab, wie einfach ein Angreifer die Schwachstelle ausnutzen kann. Zum Beispiel kann ein Forscher, der einen ausnutzbaren Zero-Click-Authentifizierungsfehler meldet und demonstriert, die Auszahlung von 130.000 US-Dollar erhalten.
Die Ausnutzung nutzte eine Reihe von Schwachstellen aus, darunter einen Logout CSRF-Fehler, einen Login CSRF-Fehler, eine Schwachstelle im Facebook-Checkpoint-Tool und eine XSS-Schwachstelle in der Facebook-Sandbox-Domäne, die es dem Angreifer ermöglichte, JavaScript-Code im Kontext der Sandbox-Domäne auszuführen, was letztendlich zur Übernahme des Kontos führte.
Diese kritische Sicherheitslücke hätte es Angreifern ermöglichen können, Konten zu übernehmen, indem sie gezielte Benutzer einfach dazu verleiten, auf eine speziell präparierte URL zu klicken, um CSRF-Schutzmaßnahmen zu umgehen und zur Übernahme von Konten zu führen.
Facebook hat inzwischen einen einfachen, aber potenziell gefährlichen Fehler in seiner Beta-Plattform behoben, der es einem Angreifer hätte ermöglichen können, ein Konto eines anderen Benutzers zu übernehmen, indem er den Passcode, den Facebook an Benutzer sendet, die ihr Passwort vergessen haben, durch Brute-Force erzwingt.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: