Het is je vast weleens gebeurd: je bent een wachtwoord vergeten en drukt op de herstelknop. Facebook stuurt in dat geval een pincode naar je telefoon. Veilig, toch?
Dat zou je denken, want als het goed is laat je kwaadwillenden niet in je inbox neuzen. De methode is echter minder waterdicht dan het lijkt. Normaal gesproken blokkeert Facebook je inlogpogingen na twaalf foute invoeren, maar bij de beta-website gebeurde dat niet. Daar kon je dus oneindig pincodes invoeren en zo met de juiste middelen toegang krijgen tot vrijwel elk account.
Onderzoeker Anand Prakash ontdekte de kwetsbaarheid en meldde zich netjes bij Facebook. Het bedrijf koppelde binnen een dag terug dat de bug verholpen was en zocht na acht dagen nogmaals contact. Het bedrijf beloonde hem namelijk met 15.000 dollar voor het rapporteren van de kwetsbaarheid.
Facebook betaalt sinds 2011 vergoedingen uit aan mensen die bugs melden via het sociale netwerk. In totaal betaalde het bedrijf 4,3 miljoen dollar uit aan 800 onderzoekers, goed voor een gemiddelde van 5.375 dollar per melding. Mocht je dus een serieuze bug tegenkomen, dan weet je wat je te doen staat.
[gv data=”U3Of-jF1nWo”][/gv]