You are here

Facebook dicht lek waarmee accounts overgenomen konden worden

Jurgen's picture
Submitted by Jurgen on Fri, 03/09/2021 - 23:12

Het platform geeft niet veel details over de bugs, maar zegt dat voor de eerste bug gebruikers alleen een e-mailadres of een telefoonnummer nodig hadden om achter de gebruikers-id te kunnen komen.

Daarna konden ze het wachtwoord van een account resetten, door de verificatiecode waarmee een telefoonnummer gevalideerd wordt te bruteforcen. Vervolgens konden ze een account overnemen, schrijft Facebooks Bug Bounty-account.

 

Deze methode werkt volgens Facebook niet meer, al geeft het bedrijf niet aan of het beide bugs heeft gefixt of niet. Facebook zegt geen aanwijzingen te hebben dat deze methode in de praktijk is misbruikt.

Naast de methode om accounts over te kunnen nemen, heeft Facebook een bug opgelost waarmee telefoonnummers en e-mailadressen voor meer gebruikers zichtbaar waren dan had gemoeten.

Wanneer gebruikers nieuwe telefoonnummers en e-mailadressen intoetsen in Facebook, was de defaultinstelling dat deze alleen zichtbaar zouden zijn voor de gebruiker zelf.

 

In de praktijk bleek echter dat Facebookvrienden deze gegevens ook in konden zien, in tegenstelling tot wat de defaultinstelling aangaf. Facebook zegt deze fout te hebben opgelost.

Telefoonnummers en e-mailadressen die nu in Facebook worden toegevoegd, worden standaard alleen aan de gebruiker getoond. Ook eerdere gegevens die onder de defaultinstelling zijn toegevoegd, worden nu niet langer aan Facebookvrienden weergegeven.

 

Facebook zegt verder een fix te hebben geïmplementeerd bij meerdere Facebook-diensten die dergelijke defaultinstellingsproblemen in de toekomst moet voorkomen.

Het platform zegt geen bewijs te hebben dat de foutief getoonde persoonsgegevens via scraping zijn buitgemaakt. De beveiligingsonderzoeker die dit probleem aankaartte, kreeg 15.000 dollar van het platform.

Verder heeft het platform nieuw beleid geïntroduceerd rondom bugs die contactinformatie openbaar maken die alleen voor de gebruiker zelf of voor vrienden bekend zou mogen zijn.

 

Met contactinformatie doelt Facebook op data als telefoonnummers en e-mailadressen. Vanaf nu krijgen onderzoekers maximaal tienduizend dollar als beloning voor het melden van dergelijke bugs.

Het exacte bedrag is onder meer afhankelijk van hoe eenvoudig het lek te misbruiken is en of het om consumenten of om bedrijven gaat. In het geval van bedrijven is de beloning lager, aangezien deze data volgens Facebook vaker openbaar te vinden of te gokken is.

Add new comment

(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.
(If you're a human, don't change the following field)
Your first name.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.