Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

Category:

Любой аккаунт в Instagram можно было взломать за $150

"Белый" хакер Лэксман Мутийя (Laxman Muthiyah) обнаружил в Instagram уязвимость, которая позволяла при помощи нескольких строчек кода и полутора сотен долларов за 10 минут получить доступ к любому аккаунту. Поделившись этой информацией со службой безопасности Facebook (владеет Instagram), он получил награду в 30 000 долларов.

Решив заняться поиском уязвимостей в популярном приложении-соцсети Мутийя предположил, что легче всего попытаться завладеть аккаунтом через механизм восстановления пароля. В мобильной версии Instagram оно осуществляется через шестизначный код, который присылается по запросу на почту или номер телефона. Соответственно, перебрав миллион вариантов, можно получить доступ к любому аккаунту.

Разработчики Instagram предусмотрели защиту от такого перебора, но она оказалась недостаточно надёжной. Хакер попробовал отправить 1000 запросов на восстановление пароля с разными кодами, но приняты были только 250 из них. После этого он попробовал добавить в свою "отмычку" ротацию IP-адресов, и обман удался: когда запросы приходили с разных адресов, ограничение на перебор кодов переставало работать.

Код восстановления пароля, присылаемый Instagram, действует 10 минут. Хакеру удалось, задействовав 1000 IP-адресов, отправить в этот промежуток 200 000 запросов на доступ без ограничений, перебрав пятую часть возможных вариантов. Если бы он потратился и приобрёл у любого облачного провайдера пять тысяч виртуальных машин с уникальными IP, "отмычка" стала бы полностью рабочей. По словам Мутийи, затраты на это составили бы не более 150 долларов.

https://hitech.vesti.ru/article/1218858/

Tags: instagram, Информационная безопасность
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments