Анализатор по сигурността е открил уязвимост в Процес за възстановяване на акаунт в Instagram което му даде достъп до тестов акаунт.
ΈАнализатор по сигурността откри грешка в процеса на възстановяване на акаунта в Instagram, която може да е изложила на риск много акаунти.
Анализаторът Laxman Muthiyah открива грешката, докато разследва как приложението ви позволява да си върнете достъпа до акаунта си, след като сте забравили паролата. За удостоверяване Instagram изпраща произволен шестцифрен номер чрез SMS до телефона на потребителя, което дава достъп до акаунта.
Изследователят се чудеше дали човек може да използва техниката "груба сила„За заобикаляне на системата. При този метод се въвеждат хиляди произволни комбинации, докато се намери правилната. В този случай трикът проработи, но има специфични обстоятелства, които правят целия процес доста сложен.
По-конкретно, Instagram има ограничения за въвеждане на тези кодове. Така че имате ограничение от 250 опита на IP адрес, които трябва да бъдат направени в рамките на десетминутната времева рамка.
За да познаете шестцифрен код, трябва да опитате около милион различни комбинации. Този номер е достатъчен, за да предпази системата от обикновен потребител. Въпреки това Mutiyah намери начин да автоматизира процеса. Написването на програма успя да импортира огромни обеми от произволни комбинации от списък с различни IP адреси.
Muthiyah качи видео от атаката, показващо как изпраща 200.000 5.000 различни комбинации, опитвайки се да разбие тестов акаунт. „При реална атака нападателят ще се нуждае от около 150 IP адреса, за да разбие акаунта. Може да звучи като голяма цифра, но в действителност не е трудно. Ако използвате облачна услуга от Amazon или Google, тогава ще ви струва около XNUMX долара, за да направите пълна атака от един милион пароли. Той каза в свързан Блог.
Добрата новина е, че Instagram отстрани проблема. Mythiyah каза на PCMag, че приложението вече блокира броя на паролите, които потребителят може да въведе, независимо от техния IP адрес.
В имейл Instagram каза на PCMag: „Отправихме проблема и не открихме никакъв експлойт. Благодарни сме на анализатора, който помогна за идентифицирането на проблема." Facebook, който притежава Instagram, има програма, която награждава намирането на бъгове чрез Bugcrowd, който дари 30.000 XNUMX долара на Muthiyah за неговото откритие.
[the_ad_group id = ”966 ″]ΜНе забравяйте да се присъедините (регистрирате) в нашия форум, което може да стане много лесно чрез следния бутон...
(Ако вече имате акаунт в нашия форум, не е необходимо да следвате връзката за регистрация)
Присъединете се към нашата общност
Следвайте ни в Telegram!
