Mohamed Ramadan hackte Facebook mit einem Word-Dokument

Der ägyptische Sicherheitsforscher Mohamed Ramadan hackte im Sommer 2013 Facebook mit einem verfremdeten Word-Dokument, in das er einen Code eingefügt hat.

Facebook, Hacked, Mohamed Ramadan

Der ägyptische Sicherheitsforscher Mohamed Ramadan erhielt 6.300 US-Dollar, weil er den Betreibern von Facebook im Sommer eine offene Sicherheitslücke mitgeteilt hat. Ein Word-Dokument enthielt einen Code, den die Facebook-Server ausgeführt haben. Facebook versuchte sich mit seiner Webseite attack-secure.com zu verbinden, ein Vollzugriff war mit der DOCX-Datei aber nicht möglich.


Word-Dokument ausreichend

Der White Hat Mohamed Ramadan hat im Sommer eine kritische Sicherheitslücke bei Facebook gefunden und gemeldet. Er ist bekannt für das Aufspüren von Fehlern bei Google, Microsoft, Facebook und anderen Anbietern. Bei der Sicherheitslücke handelt es sich um einen Blind XXE Bug (XML External Entity). Zuvor gab es bereits eine vergleichbare Lücke, die in Verbindung mit OpenID ausgenutzt wurde. Nachdem der White Hat sein verändertes Word-Dokument auf einer Karriere-Seite von Facebook hochgeladen hatte, versuchte sich ein Facebook-Server mit seinem Webserver zu verbinden. Bis zur Schließung der Lücke wäre es gelungen, mittels der Server des sozialen Netzwerks DDoS-Angriffe zu starten und weitere Informationen von den Facebook-Servern zu erhalten. Ein Vollzugriff auf das soziale Netzwerk war hingegen nicht möglich, dagegen war man schon vorher geschützt. Der Betreiber gab bereits Ende 2013 an, alle vorhandenen Lücken geschlossen zu haben.

Facebook betreibt Bug Bounty Programm

Die Sicherheitsabteilung hatte Ramadan kurz nach seiner Kontaktaufnahme um eine Übermittlung eines Videos gebeten, um den Fehler nachvollziehen zu können. Den Fehler hatte er Facebook bereits im Juli 2013 gemeldet. Am 18. August wurde der White Hat um die Angabe seines Namens und seiner Bankverbindung gebeten. Facebook war die Mitteilung der Lücke die Zahlung von 6.300 US-Dollar wert. Ramadan probierte die Lücke auch beim Bitcoin-Portal Coinbase aus, dort gelang sogar der Zugriff auf die Server. Der Angriff auf Coinbase wird in diesem Video dokumentiert. Höchst wahrscheinlich sind weitere Webseiten für diesen Blind XXE Bug anfällig.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.