Bug dans un nouveau système centralisé créé par Meta pour les utilisateurs Gérer ses identifiants Pour Facebook et Instagram, cela aurait permis aux pirates malveillants de désactiver la protection de compte à deux facteurs simplement en connaissant leur numéro de téléphone.
Gtm Mänôz, un chercheur en sécurité du Népal, s’est rendu compte que Meta n’imposait pas de limite aux tentatives lorsqu’un utilisateur saisissait le code binaire utilisé pour se connecter à son compte sur le nouveau Centre de méta-comptesqui aide les utilisateurs à connecter tous leurs comptes Meta, tels que Facebook et Instagram.
Avec le numéro de téléphone de la victime, l’attaquant se rendrait dans un centre de compte central, entrerait le numéro de téléphone de la victime, associerait ce numéro à son compte Facebook, puis forcerait le code SMS à deux facteurs. C’était le mouvement clé, car il n’y avait pas de limite au nombre de tentatives que quelqu’un pouvait faire.
Une fois que l’attaquant avait le bon code, le numéro de téléphone de la victime était associé au compte Facebook de l’attaquant. Une attaque réussie amène toujours Meta à envoyer un message à la victime, indiquant que le double facteur a été désactivé car son numéro de téléphone a été lié au compte de quelqu’un d’autre.
« Le plus grand impact ici a été essentiellement d’annuler la 2FA basée sur les SMS lorsque vous ne connaissez que le numéro de téléphone », a déclaré Manoz à TechCrunch.
Un e-mail du Meta au propriétaire du compte lui indiquant que sa protection binaire a été désactivée. photo Crédits: Gtm Mänôz (capture d’écran)
À ce stade, en théorie, un attaquant pourrait tenter de prendre le contrôle du compte Facebook d’une victime simplement par hameçonnage de mot de passe, puisque la cible n’est plus activée à deux facteurs.
mannose j’ai trouvé un bogue dans le Meta Accounts Center l’année dernière, et la société l’a signalé à la mi-septembre. Meta a corrigé l’erreur quelques jours plus tard, payant à Mänôz 27 200 $ pour signaler l’erreur.
La porte-parole de Meta, Gabby Curtis, a déclaré à TechCrunch qu’au moment du bogue, le système de connexion était encore dans une petite phase de test public. Curtis a également déclaré que l’enquête de Meta après le signalement du bogue a révélé qu’il n’y avait aucune preuve d’exploitation dans la nature et que Meta n’a vu aucun pic d’utilisation de cette fonctionnalité particulière, soulignant le fait que personne n’en abuse.
30 janvier : titre mis à jour pour indiquer que seuls les comptes Facebook étaient concernés par l’erreur ; Cela était dû à une erreur d’édition. ZW.
Mis à jour avec un commentaire de Meta.
« Évangéliste amateur de zombies. Créateur incurable. Fier pionnier de Twitter. Amateur de nourriture. Internetaholic. Introverti hardcore. »
More Stories
Google propose une autre nouvelle offre de vente pour les acheteurs de Pixel 8
Comment l'écran du Galaxy S24 Ultra reste-t-il robuste et résiste-t-il à l'éblouissement ?
Le Pixel 7A est un slam dunk à son niveau record de 349 $