Безопасность в глобальной сети Интернет

Уязвимость входа в Instagram

Исследователь нашел способ взломать учетные записи Instagram в течение нескольких минут. Как выяснилось, уязвимость входа в Instagram может позволить потенциальным хакерам обойти двухфакторную аутентификацию.

Обнаружена уязвимость входа в Instagram

Как выяснилось в недавнем сообщении в блоге , исследователь Laxman Muthiyah заметил недостаток, который угрожал пользователям Instagram. Он обнаружил уязвимость входа в Instagram, которая может позволить злоумышленнику обойти 2FA.

Ища вероятный недостаток в платформе Facebook и Instagram, он протестировал конечную точку “забыли пароль” в Instagram. Хотя казалось, что нет никаких проблем с ссылкой сброса пароля на веб-интерфейс, мобильная платформа всё таки имеет уязвимости.

Как и обычный метод проверки, платформа отправила шестизначный код сброса пароля на мобильный номер пользователя. И, как в случае с другими кодами, хакер может использовать brute force. Исследователь полагал, что будет некоторое ограничение скорости, чтобы предотвратить грубую атаку.

Хотя платформа действительно применяет ограничение скорости, он также заметил два метода, для которых можно обойти такое ограничение: отсутствие черного списка IP и состояние “гонки”. Как говорится в его блоге,

Я был в состоянии отправлять запросы непрерывно, не будучи заблокирован, даже если количество запросов, которые я могу отправить в доли времени ограничено.

Тем не менее, это было не так просто, как кажется. Исследователь объяснил, что срок действия кода истекает в течение 10 минут. Таким образом, чтобы успешно использовать недостаток, злоумышленник должен был бы выполнить атаку с использованием 1000s IPs.

Хотя исследователь дал PoC в своем блоге, он также продемонстрировал атаку в следующем видео.

$30K в качестве вознаграждения

Хотя существуют некоторые ограничения, которые потенциально могут предотвратить успешную атаку, уязвимость является большой проблемой. Как объяснил исследователь, хакер мог обладать ресурсами для его использования.

В реальном сценарии атаки злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. Это кажется много, но это на самом деле провести атаку легко, если вы используете поставщика облачных услуг, как Amazon или Google. Полная атака одного миллиона кодов обойдется примерно в 150 долларов.

Он сообщил об уязвимости Instagram для Facebook, после чего Facebook выписали ему награду в размере $30,000.

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close