Facebook heeft een Britse hacker 20.000 dollar betaald voor een ernstig beveiligingslek in de sociale netwerksite waardoor het mogelijk was om het account van willekeurige gebruikers te kapen. De onderzoeker, bekend onder het alias 'fin1te', gebruikte de sms-functie van Facebook. Daarmee is het mogelijk om Facebook-berichten op de mobiele telefoon te ontvangen en erop te reageren.

Om het lek te misbruiken stuurde hij eerst de letter 'F' naar '32665', Facebook's sms-nummer in Groot-Brittannië. Vervolgens ontving de onderzoeker een 8-cijferige verificatiecode van Facebook, die hij invulde in een activatievenster op de website van Facebook. Dit was nodig om de sms-functie voor het account te activeren.

Wachtwoord
In plaats van de sms-functie voor zijn eigen account te activeren, wijzigde de onderzoeker het profiel ID dat in de code van het activatievenster stond vermeld. Het profiel ID van Facebookgebruikers is eenvoudig te achterhalen. Als laatste verstuurde hij de code via het aangepaste activatievenster, waarna de sms-functie voor een ander account was ingesteld.

Hierdoor was de onderzoeker in staat om het wachtwoord van gebruikers te wijzigen, aangezien er een optie is die een code verstuurt om dit te doen. Deze resetcode werd naar zijn telefoon gestuurd, ook al ging het om het profiel ID van een andere gebruiker.

Vijf dagen na Facebook te hebben gewaarschuwd werd het lek gedicht en ontving fin1te 20.000 dollar als beloning. Facebook heeft een beloningsprogramma waarmee het onderzoekers en hackers beloont die kwetsbaarheden in de website op verantwoorde wijze rapporteren.