$150 за акаунт. Експерти знайшли критичну вразливість у Instagram

16 липня 2019, 11:28

Незалежний розробник знайшов вразливість у Instagram, яка дозволяє зламати будь-яку сторінку під час відновлення доступу до акаунту. В Instagram заявили, що виправили помилку.

Левова частка атак на персональні акаунти користувачів в соцмережах і різних інших вебресурсах відбувається під час відновлення доступу до сторінок. Онлайн-сервіси помилково можуть надсилати тимчасові коди і паролі доступу, якими можуть скористатися зловмисники.

Відео дня

Схоже недавно сталося з однією із найпопулярніших соцмереж у світі - Instagram. Як пише PCMag, кіберексперт Лаксман Мутія виявив уразливість у сервісі, яка дозволяє зламати будь-яку сторінку за допомогою запиту на відновлення доступу до неї.

Коли користувачі Instagram забувають свій пароль і запитують його відновлення, сервіс видає шестизначний код на телефон, який прив’язаний до акаунту. Мутія з’ясував, що цей код можна підібрати, дотримуючись певного алгоритму.

З однієї IP-адреси Instagram дозволяє ввести код на відновлення максимум 250 раз. Причому, між спробами має бути проміжок у 10 хвилин. Враховуючи, що може існувати близько мільйона варіацій різних шестизначних кодів, їх випадкове генерування і введення займе дуже багато часу, і не факт, що комбінація співпаде з перших 250 спроб.

Замість цього Лаксман Мутія створив окрему програму, яка дозволяє вводити величезну кількість кодів із різних IP-адрес. Розробник опублікував відео, на якому він відправляє 200 тис. різних кодів для злому тестового Instagram-акаунта.

«Насправді хакерам знадобиться 5 тис. IP-адрес, щоб зламати акаунт. Здається, що це багато, але, насправді, це легко, якщо ви використовуєте хмарні сервіси типу Amazon або Google. Створення одного мільйона випадкових кодів обійдеться приблизно у $150», — написав Мутія.

У Instagram заявили, що виправили помилку за допомогою обмеження кількості вводів пароля відновлення протягом 10 хвилин. Тепер додаток блокує велику кількість спроб, навіть якщо вони надходять з різних IP-адрес.

Повідомляється, що фахівець отримав $30 тис. як нагороду за виявлення уразливості від материнської компанії Instagram Facebook.

Нагадаємо, кілька місяців тому кіберексперти виявили уразливість в месенджері WhatsApp, яка дозволяла хакерам дистанційно зламувати пристрої користувачів, просто зателефонувавши на їхній акаунт. Причому шкідливе програмне забезпечення працювало навіть у разі, якщо користувач не відповідав на телефонний дзвінок.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X