$150 за аккаунт. Эксперты нашли критическую уязвимость в Instagram

16 июля 2019, 11:28

Независимый разработчик нашел уязвимость в Instagram, которая позволяет взломать любую страницу во время восстановления доступа к аккаунту. В Instagram заявили, что исправили ошибку.

Львиная доля атак на персональные аккаунты пользователей в соцсетях и различных других веб-ресурсах происходит во время восстановления доступа к страницам. Онлайн-сервисы по ошибке могут присылать временные коды и пароли доступа, которыми могут воспользоваться злоумышленники.

Видео дня

Похожее недавно произошло с одной из самых популярных соцсетей в мире — Instagram. Как пишет PCMag, киберэксперт Лаксман Мутия обнаружил уязвимость в сервисе, которая позволяет взломать любую страницу с помощью запроса на восстановление доступа к ней.

Когда пользователи Instagram забывают свой пароль и запрашивают его восстановление, сервис выдает шестизначный код на телефон, который привязан к аккаунту. Мутия выяснил, что этот код можно подобрать, соблюдая определенный алгоритм.

С одного IP-адреса Instagram разрешает ввести код на восстановление максимум 250 раз. Причем между попытками должен быть промежуток в 10 минут. Учитывая, что может быть около миллиона вариаций разных шестизначных кодов, их случайное генерирование и ввод займет слишком много времени, и не факт, что комбинация совпадает с первых 250 попыток.

Вместо этого Лаксман Мутия создал отдельную программу, которая позволяет вводить огромное количество кодов с разных IP-адресов. Разработчик опубликовал видео, на котором он отправляет 200 тыс. разных кодов для взлома тестового Instagram-аккаунта.

«В действительности хакерам понадобится 5 тыс. IP-адресов, чтобы взломать аккаунт. Кажется, что это много, но, на самом деле, это легко, если вы используете облачные сервисы вроде Amazon или Google. Создание одного миллиона случайных кодов обойдется примерно в $150», — написал Мутия.

В Instagram заявили, что исправили ошибку посредством ограничения количества вводов пароля восстановления в течение 10 минут. Теперь приложение блокирует огромное количество попыток, даже если они поступают с разных IP-адресов.

Сообщается, что специалист получил $30 тыс. в качестве награды за нахождение уязвимости от материнской компания Instagram Facebook.

Напомним, пару месяцев назад киберэксперты обнаружили уязвимость в мессенджере WhatsApp, которая позволяла хакерам дистанционно взламывать устройства пользователей, просто позвонив на их аккаунт. Причем вредоносное программное обеспечение работало даже в случае, если пользователь не отвечал на телефонный звонок.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X