Sicherheitsforscher hätte reihenweise Facebook-Seiten übernehmen können

Mit vergleichsweise wenig Aufwand war der Sicherheitsforscher Arun Sureshkumar in der Lage, mit dem Facebook Business Manager verwaltete Seiten zu kapern. Über den Manager können etwa Unternehmen mehrere Facebook-Seiten und Werbe-Konten administrieren. Facebook hat die Sicherheitslücke mittlerweile geschlossen und Sureshkumar eine Belohnung von 16.000 US-Dollar gezahlt, teilt der Sicherheitsforscher in einem Blog-Post mit.

Um in den Facebook Business Manager eines Unternehmens einzusteigen, machte sich Sureshkumar eigenen Angaben zufolge eine unzureichende Überprüfung zunutze, um dem Business Manager so selbst generierte Werte unterjubeln zu können. Sein Vorgehen demonstriert er in einem Video:

Austauschen und übernehmen

Damit eine Übernahme klappt, setzte er einen eigenen Business-Manager-Account auf und klickte auf die Partner-Einladen-Option. Nach dem Absenden stieg er in die Verbindung ein und ersetzte seine Business-Manager-ID mit der ID des Accounts, den er übernehmen wollte. Diese ID steht der URL eines Accounts.

Anschließend habe er die manipulierte Anfrage versendet und konnte sich postwendend als Admin des anvisierten Business Managers eintragen. Anschließend war er eigenen Angaben dazu in der Lage, auf mit dem Manager verknüpften Seiten zu Posten und diese sogar zu löschen.

"Major Bug"

Sureshkumar gibt an, Facebook am 29. August über die Schwachstelle informiert zu haben. Am 6. September versicherte ein Mitglied von Facebooks Sicherheits-Team, dass sie die Lücke geschlossen haben. Sureshkumar bestätigte dies am gleichen Tag.

Facebook stufte die Lücke als "Major Bug" ein. Beim Stopfen der Schwachstelle stießen sie eigenen Angaben noch auf einen weiteren Fehler und zahlten dem Sicherheitsforscher deswegen eine höhere als normalerweise vorgesehen Bug-Bounty-Prämie aus. (des)