Аналитик безопасности обнаружил уязвимость в Процесс восстановления аккаунта Instagram что дало ему доступ к тестовой учетной записи.
ΈАналитик по безопасности обнаружил ошибку в процессе восстановления учетной записи Instagram, которая могла поставить под угрозу многие учетные записи.
Аналитик Лаксман Муфия обнаружил ошибку, исследуя, как приложение позволяет вам восстановить доступ к вашей учетной записи после того, как вы забыли пароль. Для аутентификации Instagram отправляет случайное шестизначное число по SMS на телефон пользователя, который дает доступ к учетной записи.
Исследователя интересовало, можно ли использовать эту технику »грубая сила«Чтобы обойти систему. В этом методе вводятся тысячи случайных комбинаций, пока не будет найдена правильная. В данном случае уловка сработала, но есть определенные обстоятельства, которые усложняют весь процесс.
В частности, в Instagram есть ограничения на ввод этих кодов. Таким образом, у вас есть ограничение в 250 попыток на один IP-адрес в течение XNUMX минут.
Чтобы угадать шестизначный код, нужно попробовать около миллиона различных комбинаций. Этого количества достаточно, чтобы уберечь систему от простого пользователя. Однако Мутия нашел способ автоматизировать этот процесс. Написав программу, можно было импортировать огромные объемы случайных комбинаций из списка различных IP-адресов.
Муфия загрузил видео атаки, на котором видно, что он отправляет 200.000 5.000 различных комбинаций, пытаясь взломать тестовый аккаунт. «В реальной атаке злоумышленнику потребуется около 150 IP-адресов, чтобы взломать аккаунт. Это может показаться большим числом, но на самом деле это несложно. Если вы используете облачный сервис Amazon или Google, то полная атака на один миллион паролей будет стоить вам около XNUMX долларов ». Он сказал в связанной Блог.
Хорошая новость в том, что Instagram устранил проблему. Mythiyah сообщил PCMag, что приложение теперь блокирует количество паролей, которое пользователь может ввести независимо от его IP-адреса.
Instagram сообщил PCMag в электронном письме: «Мы устранили проблему и не обнаружили никаких эксплойтов. Мы благодарны аналитику, который помог выявить проблему ». Facebook, которому принадлежит Instagram, имеет программу, которая награждает поиск ошибок через Bugcrowd, который пожертвовал 30.000 XNUMX долларов Мутии за его открытие.
[the_ad_group id = ”966 ″]