Schwerwiegende Sicherheitslücke ermöglicht Hackern Angriffe auf Facebook-Konten

Der Cybersicherheitsexperte Samip Aryal, der auf Facebooks Liste der meistgesuchten Hacker steht, hat soeben eine Sicherheitslücke in dem sozialen Netzwerk aufgedeckt, die es Hackern ermöglicht, Konten von Opfern auszunutzen. Das Problem wurde am 2. Februar entdeckt und behoben, jedoch erst einen Monat später (aus Sicherheitsgründen) öffentlich bekannt gegeben.

Laut Aryal betrifft die Sicherheitslücke den Passwort-Reset-Prozess von Facebook. Betroffen ist eine optionale Funktion, die einen sechsstelligen Authentifizierungscode an ein anderes Gerät sendet, mit dem der Nutzer angemeldet oder registriert ist. Dieser Code dient der Authentifizierung des Nutzers und dem Abschluss des Passwort-Resets auf einem neuen Gerät (auf dem der Nutzer zuvor noch nicht angemeldet war).

Bei der Analyse der Anfrage stellte er fest, dass Facebook einen festen Authentifizierungscode sendet (dessen Zahlenfolge sich nicht ändert), der 2 Stunden gültig ist und über keine Sicherheitsmaßnahmen verfügt, um Brute-Force-Angriffe zu verhindern, eine Art unautorisierter Zugriff, bei der alle möglichen Passwortzeichenfolgen ausprobiert werden, um die richtige Zeichenfolge zu finden.

Das bedeutet, dass ein Angreifer innerhalb von zwei Stunden nach dem Versenden des Codes den falschen Aktivierungscode unzählige Male eingeben kann, ohne dass Facebooks System dagegen vorgeht. Normalerweise sperrt ein Sicherheitssystem den Zugang zum verdächtigen Konto vorübergehend, wenn der falsche Code oder das falsche Passwort mehr als die festgelegte Anzahl an Malen eingegeben wird.

Zwei Stunden mögen für normale Menschen nicht viel sein, aber für Hacker, die entsprechende Hilfsmittel nutzen, ist das durchaus möglich.

Ein Angreifer muss lediglich den Benutzernamen des Zielkontos kennen, um eine Anfrage nach einem Bestätigungscode senden zu können. Anschließend wendet er die Brute-Force-Methode zwei Stunden lang ununterbrochen an, bis es ihm gelingt, das neue Passwort zurückzusetzen, die Kontrolle zu übernehmen und die Zugriffssitzungen des eigentlichen Besitzers zu unterbrechen, bevor dieser etwas unternehmen kann.

Herr Vu Ngoc Son, Technologiedirektor von NCS, erklärte, dass diese Art von Angriff außerhalb der Abwehrmöglichkeiten des Nutzers liege und als Null-Klick-Angriff bezeichnet werde. Bei dieser Angriffsart können Hacker das Konto des Opfers ohne dessen Zutun übernehmen.

„Wird diese Sicherheitslücke ausgenutzt, erhält das Opfer eine Benachrichtigung von Facebook. Wenn Sie also plötzlich eine Benachrichtigung von Facebook zur Passwortwiederherstellung erhalten, ist es sehr wahrscheinlich, dass Ihr Konto angegriffen und übernommen wurde“, erklärte Herr Son. Der Experte sagte, dass Nutzer bei solchen Sicherheitslücken nur darauf warten können, dass der Anbieter den Fehler behebt.

Facebook ist in vielen Ländern weltweit , darunter auch Vietnam, ein beliebtes soziales Netzwerk. Nutzer veröffentlichen und speichern dort während ihrer Nutzung zahlreiche persönliche Daten. Daher versuchen Hacker häufig, Konten auf der Plattform anzugreifen und zu übernehmen, um betrügerische Handlungen durchzuführen.

Eine der häufigsten Methoden besteht darin, sich als Opfer auszugeben und Verwandte aus deren Freundesliste zu kontaktieren, um Geldüberweisungen zu erbitten und so zu betrügen. Mithilfe von Deepfake-Technologie, die gefälschte Videoanrufe ermöglicht, sind bereits viele Menschen auf diese Masche hereingefallen. Um weiteres Vertrauen zu gewinnen, kaufen und verkaufen Betrüger sogar Bankkonten mit Namen, die denen von Facebook-Kontoinhabern ähneln, um ihre betrügerischen Aktivitäten zu erleichtern.

Eine weitere Methode besteht darin, das Konto zu kapern und es anschließend zu nutzen, um Links oder Dateien mit Schadcode zu versenden und in sozialen Netzwerken zu verbreiten. Dieser Schadcode hat die Aufgabe, nach der Aktivierung auf dem Zielgerät (dem Gerät des Opfers) persönliche Daten (wie Bankkontonummern, Fotos, Kontakte, Nachrichten und viele andere im Gerätespeicher abgelegte Daten) anzugreifen und zu stehlen.