Эксперт в сфере безопасности Лаксман Мутийя обнаружил уязвимость в Instagram, позволяющую взломать любой аккаунт за 10 минут. Об этом исследователь написал в блоге The zero hack.
«Эта статья о том, как я нашел уязвимость в Instagram, которая позволила мне взломать любую учетную запись. Сотрудники службы безопасности Facebook и Instagram устранили проблему и наградили меня $30 тысячами в рамках своей программы вознаграждений», — написал Мутийя.
Эксперт воспользовался несовершенством системы восстановления паролей в Instagram. При восстановлении на телефон пользователя или его электронную почту приходит код. Его нужно ввести, чтобы изменить свой пароль. Сначала Мутийя хотел отправить 1 млн кодов, чтобы в итоге угадать верный. Но Instagram проверяет и корректно ограничивает число запросов.
Тогда исследователь стал экспериментировать дальше. Отправка параллельных запросов с использованием нескольких IP-адресов позволила ему отправлять большое количество запросов без ограничений. Он понял, что срок действия кода истекает через 10 минут, поэтому для осуществления взлома нужны тысячи IP-адресов. В итоге Мутийя отправил с тысячи IP-адресов 200 тысяч запросов в течение 10 минут.
«В реальной ситуации атаки злоумышленнику требуется 5 тысяч IP-адресов для взлома учетной записи. Звучит громко, но на самом деле это легко, если вы используете провайдера облачных услуг, такого как Amazon или Google. Полная атака одного миллиона кодов обойдется примерно в $150», — рассказал Мутийя.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
26 апреля 2024
29 апреля 2024