Уязвимость в Instagram позволяла взломать любой аккаунт всего за 10 минут

Эксплуатация данной уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.А так же уязвимость помогла заработать 30 000$ тому, кто ее нашел.

Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

«Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут).Код отправлен на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность.

не удается войти в инстаграм

С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций. Однако в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки.

В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150-250, пояснил эксперт.

Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.

компания выплатила исследователю сумму в размере $30 000

Источник*

Так же рекомендуем к прочтению — «Трекеры Google и Facebook широко используются на порносайтах»

Поделиться ссылкой:

Добавить комментарий