Een 27-jarige Nederlander heeft een beveiligingslek in Facebook ontdekt waardoor kwaadwillenden toegang tot willekeurige Facebookprofielen konden krijgen. Ondernemer en programmeur Yvo Schaap ontdekte op de sociale netwerksite een Flash-bestand dat Facebook gebruikte als proxy om gegevens tussen verschillende domeinen te sturen. "Een signaal om verder te zoeken", aldus Schaap.
Na een paar uur wist hij door te 'jongleren met subdomeinen' de gegevens van willekeurige Facebookgebruikers in hun eigen Facebook-sessie te laden. Zo is het bijvoorbeeld mogelijk om een e-mailadres te achterhalen of privéfoto's te bekijken. Schaap ontdekte ook al in 2009 een Facebook-lek, waarvoor hij toen een T-shirt kreeg.
Beloning
Inmiddels heeft de sociale netwerksite een beloningsprogramma voor hackers die kwetsbaarheden op verantwoorde wijze rapporteren. Schaap waarschuwde Facebook over zijn nieuwste ontdekking voor het benaderen van Facebookprofielen en kreeg als beloning 4.500 dollar toegekend, omgerekend 3.500 euro.
"Niet slecht voor een dag werken", meldt Schaap op zijn eigen blog. Toch is het bedrag een schijntje voor het aanwijzen van een gapend gat in een sociaal netwerk dat de privégegevens van meer dan een miljard mensen bevat, merkt hij op.
"Zonder de meldingen van white hat hackers, zoals ik deed, zouden deze exploits in handen van dubieuze partijen kunnen komen die er grote chaos mee kunnen veroorzaken." Inmiddels is het probleem door Facebook opgelost. Als bewijs maakte Schaap deze videodemonstratie.
Deze posting is gelocked. Reageren is niet meer mogelijk.