l+f: Wenn man Facebook hackt - und merkt man war nicht der erste

Ein Sicherheitsforscher entdeckte eine Sicherheitslücke, über die er einen internen Facebook-Server übernehmen konnte. Bei genauerem Hinsehen fand er dann die Hintertüren seiner Vorgänger.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
l+f: Facebooks File-Sharing-Server wurde mehrfach gehackt

(Bild: Orange Tsai)

Lesezeit: 2 Min.

Ooops -- da war offenbar noch jemand anders zu Gange. Die im September installierten Dateien stammten vom Vorgänger.

(Bild: Orange Tsai)

Im Rahmen des Bug-Bounty-Programms von Facebook entdeckte und meldete ein Sicherheitsforscher eine Reihe von Sicherheitsproblemen auf einem internen Server des Unternehmens. Das Interessante: Er war ganz offenbar nicht der erste, der den Server gekapert hatte. Beim Umsehen entdeckte er immer noch aktive Hintertüren von anderen Hackern.

Der Server war eine File Transfer Appliance von Accellion (FTA), eine File Sharing Plattform für den Firmeneinsatz. In der entdeckte Orange Tsai mehrere Sicherheitsprobleme, unter anderem eine SQL-Injection-Lücke, die ihm Zugriff auf den Server gab. Als er sich mit Hilfe der darüber installierten Webshell auf dem Server umsah, erregten seltsame Fehlermeldungen in den Log-Dateien seine Aufmerksamkeit.

Sie führten ihn schließlich zur Hintertür eines anderen Hackers. Der hatte auf dem System unter anderem zusätzlichen Code installiert, der die zum Login übermittelten Passwörter der Facebook-Mitarbeiter mitprotokollierte. Wie es aussah, wurde der FTA-Server sogar zwei Mal kompromittiert – einmal im Juni und einmal im September letzten Jahres.

Der andere Hacker sammelte unter anderem Passwörter von Facebook-Mitarbeitern ein.

(Bild: Orange Tsai)

Anders als seine Vorgänger meldete Orange Tsai seine Erkenntnisse bei Facebook und erhielt im Rahmen des Belohnungsprogramms für Sicherheitslücken eine Prämie; der FTA-Hersteller Accellion wurde ebenfalls über die Schwachstellen seiner Software informiert. Nach dem Abschluss einer forensischen Untersuchung gestattete Facebook dann auch die Veröffentlichung des Blog-Postings How I Hacked Facebook, and Found Someone's Backdoor Script.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security


(ju)