0

  • Votre panier est vide.

  • LOGIN

Une grave vulnérabilité de contournement 2FA affecte Facebook et Instagram

Certains articles de veille peuvent faire l'objet de traduction automatique.

Un chercheur a remporté une grosse prime pour avoir signalé un grave bogue de contournement de l’authentification à deux facteurs (2FA) dans les produits Meta. Plus précisément, il a trouvé la vulnérabilité de contournement 2FA dans Instagram qui pourrait également avoir un impact sur les comptes Facebook liés. Meta a corrigé le problème après le rapport de bogue.

La vulnérabilité de contournement 2FA dans Instagram pourrait également avoir un impact sur Facebook

Partager les détails dans un article de blogle chercheur Gtm Mänôz a révélé la vulnérabilité de contournement 2FA dans Facebook et Instagram qu’il a découverte l’année dernière.

Comme indiqué, il est devenu curieux suite à une invitation de Meta concernant une BountyCon 2022 et voulait trouver quelque chose d’intéressant pour l’événement de piratage en direct.

Il a donc examiné la nouvelle mise en page d’Instagram pour le « Meta Accounts Center ». Il permettait d’ajouter un e-mail ou un numéro de téléphone à la section des informations personnelles d’Instagram et au compte Facebook lié, après la vérification d’un OTP à 6 chiffres.

Ici, Mänôz a découvert l’absence d’une fonctionnalité de limitation de débit, permettant à un adversaire d’ajouter un numéro de téléphone déjà vérifié à un compte Facebook/Instagram cible.

Pour exploiter la faille, un attaquant n’avait qu’à forcer brutalement le code de confirmation pour lier son numéro de téléphone souhaité au compte cible. En cas de succès, un tel ajout désactiverait 2FA pour le compte de la victime, car l’attaquant obtiendrait les détails de la victime liés à son propre compte.

Le chercheur a expliqué les étapes pour reproduire le bug dans son post.

Bug corrigé – Bug Bounty attribué

Après avoir découvert la vulnérabilité, le chercheur l’a signalée aux responsables de Meta. En réponse, Meta a confirmé le problème de « contournement de la vérification des points de contact » pour Instagram. Et a décerné la prime.

À ce stade, le chercheur a dû convaincre les responsables de Meta d’attribuer la prime conformément à leur politique de prise en compte de l’impact potentiel maximal. Enfin, le géant de la technologie lui a accordé une prime de 27 000 $ selon les nouvelles directives de paiement.

De plus, Meta a marqué cette découverte parmi les bogues les plus percutants signalés en 2022 dans leur aperçu du programme Bug Bounty 2022.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

janvier 30, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)