A ranger dans la catégorie des failles énoOormes, celle-ci, découverte par un hacker indien du nom de Anand Prakash. Ainsi qu'Anand l'explique dans billet sur son blog, la vulnérabilité permettait de réinitialiser le mot de passe de n'importe quel compte Facebook, et donc de s'y connecter.

Lorsqu'un utilisateur demande normalement une réinitialisation de son mot de passe, par exemple parce qu'il ne s'en souvient plus, Facebook lui envoie un code à 6 chiffres à saisir d'abord pour pouvoir définir ensuite un nouveau mot de passe.

Sur le site officiel de Facebook, une attaque en force brute de ce code à chiffres ne fonctionne pas, le compte visé étant bloqué après 10 - 12 tentatives.

Mais Facebook contient une version de bêta de son site à beta.facebook.com. Et dans cette version bêta, l'attaque en force brute du code à 6 chiffres n'est pas contrôlée. Une fois le mot de passe redéfini sur la version bêta après le succès de l'attaque, il suffit de se connecter au vrai site avec lui.

Anand en fait la démonstration dans la vidéo ci-dessous, sur son propre compte. Avec un outil émettant des requêtes POST en boucle, il lance une attaque à partir d'un code légèrement inférieur à celui qu'il a reçu du réseau social. Etant entendu que rien n'empêche de boucler sur toutes les combinaisons.

Plus exactement rien n'empêchait. Anand a signalé la faille au réseau social qui a réagi promptement en comblant la vulnérabilité et en récompensant ce bienveillant hacker de 15 000 dollars.