Недостаток Instagram могли бы позволить хакерам взломать ваш счет

Исследователь безопасности обнаружил уязвимость в процессе восстановления аккаунта Instagram позволяют ему ‘грубой силы’ атаковать фотографий приложение, чтобы ворваться в тестовой учетной записи.

Instagram Flaw Could've Let Hackers Break Into Your Account

Исследователь безопасности обнаружил ошибку в процессе восстановления аккаунта Instagram, которые могли быть использованы для взлома аккаунтов людей.

Исследователь Лаксман Muthiyah нашли ошибку расследуя, как социальные медиа приложение, которое позволяет вам восстановить доступ к вашему аккаунту в случае, если вы забыли свой пароль. Чтобы доказать свою идентичность, Instagram можете отправить шестизначный случайный код в свой смартфон с помощью SMS-сообщения. Затем вас попросят ввести цифры в приложение.

Instagram Flaw Could've Let Hackers Break Into Your Account

Muthiyah удивлялся, если кто-то может “грубой силы” процесса, просто огромное количество комбинаций, чтобы попытаться угадать правильный код. Как выясняется, вы можете, при определенных условиях.

Instagram имеет некоторые ограничения на ввод кодов в процесс восстановления учетной записи. Они включают в себя ставки-ограничение количества догадок до 250 в IP-адрес. Догадки должны быть сделаны в течение 10 минут.

Выясняя шестизначный код означает, что есть миллион разных общее количество комбинаций, чтобы попробовать. Это слишком много для любого человека на вход. Однако, Muthiyah обнаружил, что он может автоматизировать брут-форс атака на Instagram через его API. Он сделал это путем написания скриптов, программирование для одновременного ввода огромного количества догадок на вращающуюся список IP-адресов.

Muthiyah выложили видео, демонстрирующее атаку, которая показывает ему, посылая 200,000 попыток взломать тестовый аккаунт Instagram. “В реальный сценарий атаки, злоумышленник должен 5,000 ИПС взломать аккаунт. Это звучит большой, но это действительно легко, если вы используете провайдер облачных сервисов, как Amazon или Google. Это будет стоить около $150, чтобы выполнить полную атаку одного миллиона кодов”, – написал он в своем блоге.

Хорошая новость заключается в том, что Instagram исправил ошибку. Muthiyah сказал в PCMag приложение теперь блокирует количество попыток, пароль вы можете отправить, даже при использовании нескольких IP-адресов. “Следовательно, никто не может отправить все возможности в течение 10 минут”, – сказал он в чат в Messenger Facebook.

В электронной почте, Instagram рассказал в PCMag: “мы исправили проблему и не нашли никаких доказательств неправомерного использования. Мы благодарны исследователю за помощь в выявлении проблемы”. Родительского приложения, Facebook, есть программы ошибка щедрости через Bugcrowd, который присудил Muthiyah 30 000 долларов за поиск уязвимостей.

Примечание редактора: эта история была обновлена с комментарием из Instagram, чтобы подчеркнуть, что не найдено никаких доказательств, кто злоупотребляет недостаток.

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: