Как любой аккаунт в Instagram может быть взломан менее чем за 10 минут

30 000 долларов США получил индийский исследователь безопасности Laxman Muthiyah за обнаружение серьезной уязвимости, которая потенциально могла бы подвергнуть риску взлома любую учетную запись Instagram.

В своем блоге он рассматривает: может ли быть уязвимость в том, как Instagram обрабатывает запросы на сброс пароля для пользователей, которые забыли свои учетные данные для входа.

Исследователь обнаружил, что, когда пользователи сбрасывают пароль через веб-интерфейс Instagram, сайт отправляет ссылку для сброса на адрес электронной почты пользователя. Кроме этого, Instagram предлагает пользователям, заблокировавшим свои учетные записи, возможность запросить отправку шестизначного секретного кода безопасности на номер их мобильного телефона или адрес электронной почты. Если этот пароль введен, пользователь может восстановить доступ к своей учетной записи Instagram.

Теоретически, если хакер сможет ввести шестизначный код безопасности, он сможет взломать учетную запись Instagram (исбросить пароль, блокируя законного владельца).

Как описывает исследователь, все, что нужно хакеру — это в течение десяти минут ввести правильный шестизначный код в окно Instagram – этот код может быть любой комбинацией между 000000 и 999999.

Конечно, приложения Facebook и Instagram не могут не реагировать на автоматизированный скрипт, который пытается угадать правильный код безопасности. В таких случаях используется ограничение скорости, позволяющее определять, когда были предприняты многочисленные попытки пройти проверку безопасности, и замедлить последующие попытки: после того, как исследователь перебрал 1000 попыток угадать код безопасности аккаунта Instagram, 250 из них прошли, а последующие 750 запросов были ограничены по скорости.

Однако после нескольких дней тестирования исследователь смог обнаружить, что механизм ограничения скорости в Instagram можно обойти: не использовать один и тот же компьютер для подбора кода восстановления и отправлять коды одновременно с разных IP-адресов.

Исследователь отмечает, что использовал 1000 различных машин и IP-адресов и отправил 200 000 запросов в своих тестах. Он поделился видео в социальных сетях и с командой безопасности Instagram, чтобы продемонстрировать атаку в действии:

Это расследование приводит к выводу, что при реальной атаке для взлома аккаунта Instagram потребуется 5000 IP-адресов. Несмотря на то, что это звучит как большое число, на самом деле его можно легко достичь за низкую цену (исследователь отмечает, что при использовании облачного провайдера, такого как Google или Amazon, это может стоить примерно 150 долларов США).

Источник Bitdefender

Решения Bitdefender, ведущей глобальной компании в области кибербезопасности, защищающей более 500 миллионов пользователей по всему миру, легко обнаруживают майнеры, а также обеспечивают защиту физических и виртуальных ПК и серверов, почтовых ящиков и мобильных устройств.

По вопросам приобретения решений Bitdefender обращайтесь к нашим специалистам 0 800 75-01-34 или sales@softico.ua

Похожие новости