Un chercheur a gagné une grosse prime pour avoir signalé un grave bug de contournement de l'authentification à deux facteurs (2FA) dans les produits Meta. Plus précisément, il a trouvé la vulnérabilité de contournement 2FA dans Instagram qui pouvait également avoir un impact sur les comptes Facebook liés. Meta a corrigé le problème suite au rapport de bug.
La vulnérabilité de contournement 2FA dans Instagram pourrait aussi avoir un impact sur Facebook
En partageant les détails dans un billet de blog, le chercheur Gtm Mänôz a révélé la vulnérabilité de contournement 2FA dans Facebook et Instagram qu'il a découverte l'année dernière.
Comme révélé, il est devenu curieux suite à une invitation de Meta concernant une BountyCon 2022 et a voulu trouver quelque chose d'intéressant pour l'événement de piratage en direct.
Il a donc examiné la nouvelle présentation d'Instagram pour le “Centre des comptes Meta”. Elle permettait d'ajouter un email ou un numéro de téléphone dans la section des détails personnels d'Instagram et du compte Facebook lié, après la vérification d'un OTP à 6 chiffres.
Ici, Mänôz a découvert l'absence d'une fonction de limitation de débit, permettant à un adversaire d'ajouter un numéro de téléphone déjà vérifié à un compte Facebook/Instagram cible.
Pour exploiter la faille, un attaquant n'avait qu'à forcer brutalement le code de confirmation pour lier le numéro de téléphone qu'il souhaitait au compte cible. S'il réussit, un tel ajout désactiverait le système 2FA pour le compte de la victime, car l'attaquant obtiendrait les coordonnées de la victime liées à son propre compte.
Le chercheur a expliqué les étapes pour reproduire le bug dans son post.
Bug corrigé – Prime de bug attribuée
Après avoir découvert la vulnérabilité, le chercheur l'a signalée aux responsables de Meta. En réponse, Meta a confirmé le problème de “contournement de la vérification des points de contact” pour Instagram. Et a attribué la prime.
À ce stade, le chercheur a dû convaincre les responsables de Meta d'accorder la prime conformément à leur politique de prise en compte de l'impact potentiel maximal. Finalement, le géant de la technologie lui a accordé une prime de 27 000 dollars, conformément aux nouvelles directives de paiement.
De plus, Meta a marqué cette découverte parmi les bogues les plus impactants signalés pendant l'année 2022 dans leur aperçu du Programme de primes aux bogues 2022.
Fais-nous part de tes réflexions dans les commentaires.
