RU
EN
Эксплуатация данной уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.А так же уязвимость помогла заработать 30 000$ тому, кто ее нашел.
Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.
«Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут).Код отправлен на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность.
С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций. Однако в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки.
В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150-250, пояснил эксперт.
Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.
Так же рекомендуем к прочтению — «Трекеры Google и Facebook широко используются на порносайтах»
