Pas plus tard qu’en septembre 2022, un bogue dans le système de gestion de compte centralisé de Meta a permis aux acteurs de la menace de supprimer 2FA protections pour les comptes Facebook simplement en connaissant le numéro de téléphone attaché à un compte.
Selon un Poste moyen (s’ouvre dans un nouvel onglet)(via Techcrunch (s’ouvre dans un nouvel onglet)), le chercheur en sécurité Gtm Mänôz a découvert que, du Meta Accounts Center (s’ouvre dans un nouvel onglet) système de gestion de compte conçu pour lier les comptes Facebook et Instagram, un attaquant pourrait entrer le numéro de téléphone d’une victime, lier le numéro à son propre compte Facebook, puis forcer brutalement le code SMS 2FA pour le compte de la victime, grâce à l’absence de limite supérieure définie pour les tentatives d’entrée de code.
Après une tentative réussie, les victimes verraient leur 2FA désactivé, laissant leurs comptes uniquement sécurisés par un mot de passe, qui, après un Hameçonnage ou alors ingénierie sociale attaque, pourrait facilement être récupérée par un acteur de la menace dédié.
Dans son article Medium, Mänôz a affirmé avoir trouvé le bogue en préparation de BountyCon, une conférence de chercheurs en sécurité co-organisée par Meta et Google, simplement en poussant « une nouvelle interface utilisateur » dans Meta Accounts Center.
Il a également affirmé que, parce que le points de terminaison qui vérifient les adresses e-mail et les numéros de téléphone sur les comptes Instagram et Facebook étaient les mêmes, la vérification des points de contact qui avaient déjà été attachés aux comptes pouvait être contournée, rendant le bogue possible.
Bien que l’on ne sache pas combien de temps le bogue a été actif dans la partie Facebook du système 2FA du Meta Account Center, un correctif est apparu après un peu plus d’un mois, Mänôz soumettant un rapport de bogue à Meta le 14 septembre et un correctif lui étant confirmé le 17 octobre.
Meta lui-même a mentionné le bogue dans le Récapitulatif 2022 de son programme Bug Bounty (s’ouvre dans un nouvel onglet)notant que Mänôz a reçu 27 200 $ pour ses efforts.