Onderzoeker Anand Prakash maakte gebruik van een ontwerpfout in het proces van Facebook om wachtwoorden te herstellen, schrijft hij op zijn blog.
Als gebruikers hun wachtwoord zijn vergeten, kunnen ze hun e-mailadres of telefoonnummer invoeren om hier een zescijferige code naar te laten sturen. Als ze deze code correct invoeren, kan een nieuw wachtwoord worden gekozen.
Het is op Facebook.com onmogelijk om die code een oneindig aantal keer te raden. Na ongeveer tien keer worden de pogingen van de gebruiker geblokkeerd.
Maar Prakash ontdekte dat die limiet op de bètasite van Facebook niet bestond. Zo kon hij gemakkelijk een script schrijven om de code te raden, en vervolgens een nieuw wachtwoord aan een account te geven.
Verholpen
Omdat het vrij lang duurt om elk van de miljoen mogelijke codes te proberen, had het lek vermoedelijk niet gebruikt kunnen worden om grootschalig accounts te kapen. Wel was de methode bruikbaar om in te breken op specifieke accounts.
In een video demonstreerde Prakash het lek door zijn eigen account te kraken. Hij meldde het probleem op 22 februari aan Facebook. Een dag later was het lek verholpen.
Facebook heeft inmiddels een bedrag van 15.000 dollar (13.600 euro) uitgekeerd aan Prakash voor de vondst van het lek. Voor zo ver bekend is de bug niet misbruikt.