Facebook corrige un bug utilisant les SMS

01 juin 2018 à 15h36
0
Jack Whitten, un hacker connu sous le pseudonyme fin1te indique que le réseau social vient de corriger une faille de sécurité qu'il a découverte. La vulnérabilité permettait de prendre le contrôle d'un compte Facebook via la fonction SMS censée lier un profil à un téléphone portable.

00D2000006089914-photo-hack-facebook-sms.jpg
Un spécialiste britannique de la sécurité annonce que Facebook a corrigé une faille de sécurité plutôt gênante. Connu sous le pseudonyme fin1te, il précise avoir reçu 20 000 dollars du réseau social, somme versée dans le cadre du programme récompensant ceux qui communiquent au réseau social des failles de sécurité dans les dispositifs de ses services.

Jack Whitten ou fin1te précise sur son blog qu'il lui était possible de prendre le contrôle d'un compte en peu de temps. Facebook propose en effet de lier un numéro de téléphone à son compte. L'utilisateur peut alors recevoir des informations, des mises à jour via SMS. Le numéro peut également servir de porte d'entrée vers le réseau social.

Le code d'enregistrement ainsi envoyé à l'utilisateur se présente dans un format lui permettant d'éditer le champ profile_id, la faille se situant précisément sur /ajax/settings/mobile/confirm_phone.php. Suite à cette modification, Whitten ajoute que le compte de la victime se trouve liée au téléphone de l'attaquant. Ce dernier peut alors demander une réinitialisation du mot de passe, l'obtenir et accéder au compte de la cible.

Selon le hacker, le problème a été présenté à Facebook le 23 mai dernier, le réseau social a par la suite répondu puis corrigé la faille à la date du 28.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

SFR : promotions estivales sur l'Internet mobile prépayé et sur le Maghreb
Finalement le PlayBook ne sera pas mis à jour vers BlackBerry 10
Justin Rattner quitte son poste de CTO d'Intel
Apple France et d’autres grossistes perquisitionnés par la répression des fraudes
Le rachat de Clearwire par Sprint s'apprête à être validé
Recommerce Solutions
Watchdogs : avec WeareData, Ubisoft agrège la data de Paris, Londres et Berlin
Google propose d'ajouter ses contacts à son moteur de recherche
Deways
Semi-conducteurs : LFoundry placé en redressement judiciaire
Haut de page