par Un bogue dans un nouveau système centralisé que Meta a créé pour que les utilisateurs gèrent leurs connexions pour Facebook et Instagram aurait pu permettre à des pirates malveillants de désactiver les protections à deux facteurs d’un compte simplement en connaissant leur numéro de téléphone.
Gtm Mänôz, un chercheur en sécurité népalais, s’est rendu compte que Meta n’établissait pas de limite de tentatives lorsqu’un utilisateur saisissait le code à deux facteurs utilisé pour se connecter à ses comptes sur le nouveau Meta Accounts Center, qui aide les utilisateurs à lier tous leurs comptes Meta. , comme Facebook et Instagram.
Avec le numéro de téléphone d’une victime, un attaquant se rendrait au centre de comptes centralisé, entrerait le numéro de téléphone de la victime, lierait ce numéro à son propre compte Facebook, puis forcerait brutalement le code SMS à deux facteurs. C’était l’étape clé, car il n’y avait pas de limite supérieure au nombre de tentatives que quelqu’un pouvait faire.
Une fois que l’attaquant a obtenu le bon code, le numéro de téléphone de la victime a été lié au compte Facebook de l’attaquant. Une attaque réussie entraînerait toujours l’envoi par Meta d’un message à la victime, indiquant que son double facteur était désactivé car son numéro de téléphone était lié au compte de quelqu’un d’autre.
« Fondamentalement, l’impact le plus important ici a été de révoquer le 2FA basé sur SMS de quiconque connaissant simplement le numéro de téléphone », a déclaré Mänôz à TechCrunch.
Un e-mail de Meta à un propriétaire de compte lui indiquant que ses protections à deux facteurs ont été désactivées. Crédits image : Gtm Mänôz (capture d’écran)
À ce stade, théoriquement, un attaquant pourrait essayer de prendre le contrôle du compte Facebook de la victime simplement en hameçonnant le mot de passe, étant donné que la cible n’a plus activé le double facteur.
Mänôz a trouvé le bug dans le Meta Accounts Center l’année dernière et l’a signalé à la société à la mi-septembre. Meta a corrigé le bogue quelques jours plus tard et a payé 27 200 $ à Mänôz pour avoir signalé le bogue.
Le porte-parole de Meta, Gabby Curtis, a déclaré à TechCrunch qu’au moment du bogue, le système de connexion était encore au stade d’un petit test public. Curtis a également déclaré que l’enquête de Meta après le signalement du bogue avait révélé qu’il n’y avait aucune preuve d’exploitation dans la nature et que Meta n’avait constaté aucun pic d’utilisation de cette fonctionnalité particulière, ce qui signalerait le fait que personne n’en abusait.
30 janvier : titre mis à jour pour indiquer que seuls les comptes Facebook étaient vulnérables au bogue ; cela était dû à une erreur d’édition. ZW.
Mis à jour avec le commentaire de Meta.
