072 - 201 61 16 31722016116

Professionele bouwers van jouw nieuwe game pc op maat

Zelf PC samenstellen

Facebook dicht lek waardoor accounts konden worden overgenomen

datum: 03-09-2021Categorie: SoftwareBron: Tweakers

Facebook heeft een lek gedicht waardoor kwaadwillenden accounts konden overnemen. De methode combineerde twee bugs waarbij de gebruikers-ID werd geëxtraheerd en de verificatiecode werd verkregen via bruteforce. De ontdekker kreeg $ 40.000 betaald.

Het platform geeft niet veel details over de bugs, maar zegt dat gebruikers vóór de eerste bug alleen een e-mailadres of een telefoonnummer nodig hadden om de gebruikers-ID te achterhalen. Vervolgens konden ze het wachtwoord van een account opnieuw instellen door bruteforce de verificatiecode te gebruiken die een telefoonnummer valideert. Dan zouden ze een account kunnen overnemen, schrijft Facebook's Bug Bounty-account.

Deze methode werkt volgens Facebook niet meer, al geeft het bedrijf niet aan of het beide bugs heeft verholpen of niet. Facebook zegt geen aanwijzingen te hebben dat deze methode in de praktijk is misbruikt.

Naast de methode voor het overnemen van accounts, heeft Facebook een bug opgelost waardoor telefoonnummers en e-mailadressen zichtbaar werden voor meer gebruikers dan ze zouden moeten hebben. Wanneer gebruikers nieuwe telefoonnummers en e-mailadressen in Facebook invoeren, was de standaardinstelling dat deze alleen zichtbaar zouden zijn voor de gebruiker zelf.

In de praktijk bleek echter dat Facebook-vrienden deze gegevens ook konden inzien, in tegenstelling tot wat de standaardinstelling aangaf. Facebook zegt dat het deze fout heeft verholpen. Telefoonnummers en e-mailadressen die nu in Facebook zijn toegevoegd, worden standaard alleen aan de gebruiker getoond. Ook worden eerdere gegevens die zijn toegevoegd onder de standaardinstelling niet langer weergegeven aan Facebook-vrienden.

Facebook zegt ook dat het een oplossing heeft geïmplementeerd bij verschillende Facebook-services die dergelijke problemen met standaardinstellingen in de toekomst moeten voorkomen. Het platform zegt geen bewijs te hebben dat de verkeerd weergegeven persoonlijke gegevens via scraping zijn gevangen genomen. De beveiligingsonderzoeker die dit probleem aan de orde stelde, kreeg $ 15.000 van het platform.

Verder heeft het platform een nieuw beleid geïntroduceerd rond bugs die contactgegevens onthullen die alleen bekend mogen zijn bij de gebruiker of vrienden. Met contactgegevens verwijst Facebook naar gegevens zoals telefoonnummers en e-mailadressen. Vanaf nu ontvangen onderzoekers tot $ 10.000 als beloning voor het melden van dergelijke bugs. Het exacte bedrag hangt onder meer af van hoe makkelijk het lek te misbruiken is en of het consumenten of bedrijven betreft. In het geval van bedrijven is de beloning lager, omdat deze gegevens volgens Facebook eerder openbaar beschikbaar zijn of gokken.

Nieuws overzicht
Professionele installatie en reparatie van jouw pc of laptop voor de regio Alkmaar, Heerhugowaard, Schagen
Computer hulp zowel bij ons op kantoor als bij jou thuis, bedrijf of op afstand.
KvK nummer:  68747640
BTW nummer:  NL857574176B01