Het is mogelijk om Facebook-accounts te kraken met niet meer dan een telefoonnummer, zo waarschuwen onderzoekers.

Een beveiligingsteam van Positive Technologies beweert dat als je het telefoonnummer van je beoogde slachtoffer kent, je kunt inbreken op hun gekoppelde Facebook-account dankzij beveiligingsfouten in het SS7-protocol.

Zoals Forbes meldt, is er een segment van de kerninfrastructuur voor telecommunicatie dat het laatste halve decennium kwetsbaar is gelaten voor uitbuiting.

SS7 is een protocol dat in 1975 is ontwikkeld en wereldwijd wordt gebruikt om te definiëren hoe netwerken in een openbaar geschakeld telefoonnetwerk (PSTN) informatie uitwisselen via een digitaal signaleringsnetwerk. Een netwerk dat is gebaseerd op SS7 zal echter standaard berichten vertrouwen die eroverheen worden verzonden – ongeacht waar het bericht vandaan komt.

De beveiligingsfout ligt binnen het netwerk en hoe SS7 deze verzoeken behandelt, in plaats van een bug op het platform van Facebook. Het enige wat cyberaanvallers hoeven te doen is de procedure “Account vergeten?” te volgen via de homepage van Facebook, en wanneer gevraagd wordt om een telefoonnummer of e-mailadres, het legitieme telefoonnummer aan te bieden.

Zodra Facebook een sms-bericht heeft meegestuurd met de eenmalige code die wordt gebruikt om toegang te krijgen tot het account, kan de SS7-beveiligingsfout vervolgens worden misbruikt om deze code om te leiden naar het eigen mobiele apparaat van de aanvaller, waardoor ze toegang krijgen tot het account van het slachtoffer.

Positive Technologies heeft een proof-of-concept (PoC) video geleverd waarin de aanval wordt gedemonstreerd, die hieronder kan worden bekeken:

Het slachtoffer moet zijn telefoonnummer hebben gekoppeld aan het doelaccount, maar omdat de beveiligingsfout is gevonden binnen het telecommunicatienetwerk en niet online domeinen, zal deze aanval ook werken tegen elke webdienst die dezelfde procedure voor accountherstel gebruikt — zoals Gmail en Twitter.

Twee-staps-verificatie wordt steeds crucialer, maar totdat de kwetsbaarheden in telecomdiensten zijn verholpen, kan het gebruik van e-mail herstelmethoden de beste manier zijn om te gaan — evenals het gebruik van zeer sterke, complexe wachtwoorden voor alle belangrijkste ‘hub’ e-mailaccounts die u gebruikt om andere online diensten te onderhouden.