Analityk bezpieczeństwa odkrył lukę w zabezpieczeniach Proces odzyskiwania konta na Instagramie co dało mu dostęp do konta testowego.
ΈAnalityk bezpieczeństwa znalazł błąd w procesie odzyskiwania konta na Instagramie, który mógł narazić wiele kont na ryzyko.
Analityk Laxman Muthiyah odkrył błąd podczas badania, w jaki sposób aplikacja umożliwia odzyskanie dostępu do konta po zapomnieniu hasła. W celu uwierzytelnienia Instagram wysyła losowy sześciocyfrowy numer SMS-em na telefon użytkownika, który daje dostęp do konta.
Badacz zastanawiał się, czy można zastosować tę technikę”brutalna siła„Aby ominąć system. W tej metodzie wprowadzane są tysiące losowych kombinacji, dopóki nie zostanie znaleziona poprawna. W tym przypadku trik zadziałał, ale istnieją szczególne okoliczności, które sprawiają, że cały proces jest dość skomplikowany.
Mówiąc dokładniej, Instagram ma ograniczenia dotyczące wprowadzania tych kodów. Masz więc limit 250 prób na adres IP, które należy wykonać w ciągu dziesięciu minut.
Aby odgadnąć sześciocyfrowy kod, musisz wypróbować około miliona różnych kombinacji. Ta liczba jest wystarczająca, aby system był bezpieczny przed prostym użytkownikiem. Jednak Mutiyah znalazł sposób na zautomatyzowanie procesu. Napisanie programu umożliwiło importowanie ogromnych ilości losowych kombinacji z listy różnych adresów IP.
Muthiyah przesłał wideo z ataku, pokazujące, że wysyła 200.000 5.000 różnych kombinacji, próbując złamać konto testowe. „W prawdziwym ataku atakujący będzie potrzebował około 150 adresów IP, aby złamać konto. Może to zabrzmieć jak duża liczba, ale w rzeczywistości nie jest to trudne. Jeśli korzystasz z usługi w chmurze od Amazona lub Google, całkowity atak miliona haseł będzie kosztować około XNUMX USD”. Powiedział w spokrewnionym Blog.
Dobrą wiadomością jest to, że Instagram naprawił problem. Mythiyah powiedział PCMag, że aplikacja blokuje teraz liczbę haseł, które użytkownik może wprowadzić niezależnie od adresu IP.
W e-mailu Instagram powiedział PCMag: „Rozwiązaliśmy problem i nie znaleźliśmy żadnego exploita. Jesteśmy wdzięczni analitykowi, który pomógł zidentyfikować problem.” Facebook, który jest właścicielem Instagrama, ma program nagradzający znajdowanie błędów przez Bugcrowd, który przekazał Muthiyah 30.000 XNUMX dolarów za jego odkrycie.
[the_ad_group id = ”966 ″]