Piratage d’un compte Facebook avec juste un SMS

Pouvez-vous imaginer qu’un seul SMS est suffisant pour pirater un compte Facebook ? Pas besoin d’utiliser des outils de piratage tels que des chevaux de Troie, phishing ou les Keylogger. Avec un simple message texte vous pouvez hacker un compte Facebook.

Ici , je vais vous expliquer comment un chercheur de sécurité britannique, « fin1te » à pu pirater un compte Facebook en une minute en envoyant un simple SMS.

Comme vous le savez, il existe une option permettant de lier votre numéro de téléphone à votre compte Facebook. Cela vous permet de recevoir les mises à jour de votre compte Facebook par SMS. Vous pouvez également vous connecter à votre compte en utilisant ce numéro plutôt que votre adresse e-mail.

Selon le chercheur, la faille était liée au processus de liaison de numéro de téléphone ou, techniquement, au fichier /ajax/settings/mobile/confirm_phone.php.

Cette page Web permet un utilisateur de soumettre son numéro de téléphone et son code de vérification, envoyés par Facebook.

Ce formulaire comporte deux paramètres principaux, l’un pour le code de vérification et l’autre profil_id, qui est le compte auquel le numéro est associé .

Comment pirater compte Facebook avec un message texte ?

Voici les étapes pour exécuter le piratage Facebook avec SMS:

  • Dans le code source de la page confirm_phone.php, remplacez la valeur de profile_id par la valeur profile_id de la victime.
  • Envoyez la lettre F au numéro 5100, qui est le shortcode SMS de Facebook en France. Vous recevrez un code de vérification de 8 caractères.
  • Entrez ce code dans la valeur du paramètre confirmation_code et soumettez le formulaire.
  • A cette étape, Facebook va lié le numéro de téléphone de l’attaquant au profil Facebook de la victime.
  • Enfin pour prendre le contrôle total du compte Facebook de la victime, le hacker doit simplement se rendre dans l’option Mot de passe oublié et lancer la demande de réinitialisation du mot de passe .

Facebook n’accepte plus le paramètre profile_id de l’utilisateur et l’équipe de développeur a corriger cette faille majeure. En contrepartie, Facebook à versé 20 000 $ US au chercheur “fin1te” sous forme de Bug Bounty .