Une faille Facebook (CSRF)
Une petite faille Facebook (CSRF) qui permettait (oh trois fois rien) de prendre le contrôle total d'un compte et même le supprimer.
Je vais vous parler d’une faille Facebook révélée fin janvier.
Une faille Facebook (CSRF)
Une petite faille Facebook (CSRF) qui permettait (oh trois fois rien) de prendre le contrôle total d'un compte et même le supprimer.
Elle est de type CSRF (Cross-Site Request Forgery).
Qu’est ce que c’est ?
Le hacker cache des urls spécifiques dans un site malveillant qui permettent d’effectuer des actions sur le site victime en l’occurrence Facebook.
Le hacker fait en sorte que l’abonné Facebook clique sur ces liens.
Comme c’est l’abonné qui clique le site malveillant utilise les droits de cet abonné pour effectuer des actions rendues possibles par ces urls en utilisant le lien.
Le hacker pouvait accéder à des informations confidentielles voire même les modifier.
Ils pouvait accéder à tout le profil d’un abonné Facebook
En fait, le hacker pouvait même effacer le compte Facebook attaqué.
L’utilisateur Facebook pouvait réduire le risque en activant la double authentification sur son compte Facebook.
Cette faille a été vite comblée et le chercheur qui l’a trouvée a reçu les 25000 dollars prévus par le bug bounty de Facebook.