Bezpečnostní analytik objevil zranitelnost v Proces obnovení účtu Instagram který mu umožnil přístup k testovacímu účtu.
ΈBezpečnostní analytik našel chybu v procesu obnovy účtu Instagram, která mohla ohrozit mnoho účtů.
Analytik Laxman Muthiyah objevil chybu, když zkoumal, jak vám aplikace umožňuje znovu získat přístup k vašemu účtu poté, co zapomenete heslo. Za účelem ověření odešle Instagram prostřednictvím SMS na telefon uživatele náhodné šestimístné číslo, které umožní přístup k účtu.
Výzkumníka zajímalo, zda lze použít tuto techniku "brute force"Aby obejít systém." Při této metodě se zadávají tisíce náhodných kombinací, dokud není nalezena ta správná. V tomto případě trik fungoval, ale existují specifické okolnosti, které celý proces značně komplikují.
Přesněji řečeno, Instagram má omezení na zadávání těchto kódů. Máte tedy limit 250 pokusů na IP adresu, které lze provést během deseti minut.
Chcete-li uhodnout šestimístný kód, musíte vyzkoušet asi milion různých kombinací. Toto číslo je dostatečné k tomu, aby byl systém chráněn před jednoduchým uživatelem. Mutiyah však našel způsob, jak tento proces automatizovat. Psaní programu bylo schopno importovat obrovské množství náhodných kombinací ze seznamu různých IP adres.
Muthiyah nahrál video útoku, na kterém je vidět, jak posílá 200.000 5.000 různých kombinací, které se snaží prolomit testovací účet. „Při skutečném útoku bude útočník potřebovat asi 150 IP, aby rozbil účet. Může to znít jako velké číslo, ale ve skutečnosti to není těžké. Pokud používáte cloudovou službu od Amazonu nebo Google, bude vás kompletní útok jednoho milionu hesel stát asi XNUMX dolarů. Řekl v příbuzném Blog.
Dobrou zprávou je, že Instagram problém vyřešil. Mythiyah řekl PCMag, že aplikace nyní blokuje počet hesel, která může uživatel zadat bez ohledu na svou IP adresu.
V e-mailu Instagram řekl PCMag: „Problém jsme vyřešili a nenašli jsme žádné zneužití. Jsme vděční analytikovi, který pomohl identifikovat problém." Facebook, který vlastní Instagram, má program, který odměňuje nalezení Bugs prostřednictvím Bugcrowd, který Muthiyahovi za jeho objev daroval 30.000 XNUMX dolarů.
[the_ad_group id = ”966 ″]