Facebook-Hacker: Zu jung als User, alt genug für Bug Bounty-Prämie

Facebook hat einem Nachwuchs-Hacker, der sich aufgrund seines Alters nicht einmal bei dem Social Network anmelden dürfte, eine Prämie aus seinem Bug Bounty-Programm ausbezahlt. Immerhin rund 9.000 Euro hat der Junge aus Finnland jetzt von dem Unternehmen bekommen. Der 10-jährige wird in dem Bericht der finnischen Lokalzeitung Iltalehti lediglich Jani genannt, der Nachname aufgrund des geringen Alters verschwiegen. Ihm war es gelungen, einen erfolgreichen Angriffsweg auf die Facebook-Tochter Instagram zu finden. Dieser ermöglichte es den Angaben zufolge auf der Foto-Community beliebige Kommentare zu löschen.

Video hier Klicken


"Ich wäre in der Lage gewesen, jeden zu entfernen, auch Justin Bieber", erklärte der Junge gegenüber der Zeitung - in Anspielung auf den mit über 66 Millionen Abonnenten wohl erfolgreichsten Instagram-Nutzer. Solche Attacken hätten dem Foto-Netzwerk durchaus einige Schwierigkeiten einbringen können.

Wahrscheinlich ein XSS-Bug
Wie genau der Angriff funktionierte, ist nicht bekannt. Es deutet aber einiges darauf hin, dass es sich um eine Cross-Site-Scripting (XSS)-Sicherheitslücke handelte. Denn laut Facebook habe man den Fehler nachvollziehen können, als man Janis Vorgehen mit einem Test-Account prüfte. Eingaben konnten hier dazu missbraucht werden, auf dem Server eine Löschung von Kommentaren bei beliebigen User-Accounts zu erzwingen. Der Finne hatte das Unternehmen im Februar über den Bug informiert, woraufhin dieser umgehend behoben werden konnte.

Facebook hat seit dem Start seines Bug Bounty-Programms vor fünf Jahren insgesamt 2.400 Einsendungen gezählt, die den Kriterien entsprachen. Insgesamt wurden 800 Sicherheitsforscher mit Zahlungen von zusammen rund 4,3 Millionen Dollar bedacht. Jani ist nun der Jüngste in diesem Kreis. Den vorhergehenden Altersrekord hielt seit dem Jahr 2013 ein 13-Jähriger - der sich laut den Nutzungsbedingungen zumindest schon legal bei einem Facebook-Produkt anmelden darf.

Quelle