Eind mei heeft Facebook een lek gedicht dat er eerder voor zorgde dat accounts over te nemen waren door het gebruik van de resetmethode via SMS. Beveiligingsonderzoeker ‘jack’ laat op zijn blog zien hoe een account over te nemen was door via een omweg gebruik te maken van de resetmethode via telefoon.
Facebook kan telefoonnummers gebruiken om bijvoorbeeld je identiteit te bevestigen in geval van twijfel (als je in het buitenland zit) of om je wachtwoord te resetten. Het lek zat niet zozeer in het feit dat je een telefoonnummer kunt gebruiken an sich, maar in het deel van de website dat ervoor zorgt dat je een nummer aan een account kunt koppelen. Via een lek op deze pagina kon een aanvaller met een eigen code feitelijk een (extra) nummer toevoegen en zo het resetten van het wachtwoord in werking kon stellen, met met het eigen telefoon als toestel dat Facebook gebruikte ter controle.
Facebook was onlangs ook nog in het nieuws doordat toegevoegde telefoonnummers van 6 miljoen gebruikers door een fout waren gedeeld met andere gebruikers, ook waar de instellingen van die persoon dat eigenlijk niet toe zou moeten laten.
Na melding is het ‘resetlek’ door Facebook binnen 5 dagen gedicht, zodat het op 28 mei niet meer bruikbaar was. De beloning die Facebook aan het melden van deze bug toekende was 20.000 dollar, hetgeen ook volgens ‘jack’ wel aangaf hoe gevaarlijk het probleem wel niet was.