Un analist de securitate a descoperit o vulnerabilitate în Procesul de recuperare a contului Instagram care i-a dat acces la un cont de test.
ΈUn analist de securitate a găsit o eroare în procesul de recuperare a contului Instagram care ar fi putut pune multe conturi în pericol.
Analistul Laxman Muthiyah a descoperit eroarea în timp ce investiga modul în care aplicația vă permite să recâștigați accesul la contul dvs. după ce ați uitat parola. Pentru autentificare, Instagram trimite un număr aleatoriu de șase cifre prin SMS către telefonul utilizatorului, care oferă acces la cont.
Cercetătorul s-a întrebat dacă s-ar putea folosi tehnica "brute force„Pentru a ocoli sistemul. În această metodă, se introduc mii de combinații aleatorii până când este găsită cea corectă. În acest caz trucul a funcționat, dar există circumstanțe specifice care fac întregul proces destul de complicat.
Mai precis, Instagram are restricții privind introducerea acestor coduri. Deci, aveți o limită de 250 de încercări pentru fiecare adresă IP care trebuie făcute în intervalul de timp de zece minute.
Pentru a ghici un cod din șase cifre, trebuie să încercați aproximativ un milion de combinații diferite. Acest număr este suficient pentru a proteja sistemul de un simplu utilizator. Cu toate acestea, Mutiyah a găsit o modalitate de a automatiza procesul. Scrierea unui program a putut să importe volume uriașe de combinații aleatorii dintr-o listă de adrese IP diferite.
Muthiyah a încărcat un videoclip cu atacul în care îl arată trimițând 200.000 de combinații diferite încercând să spargă un cont de test. „Într-un atac real, atacatorul va avea nevoie de aproximativ 5.000 de IP-uri pentru a sparge contul. Poate suna ca un număr mare, dar în realitate nu este dificil. Dacă utilizați un serviciu cloud de la Amazon sau Google, atunci vă va costa aproximativ 150 de dolari să faceți un atac complet de un milion de parole.” El a spus într-un relatat Blog.
Vestea bună este că Instagram a remediat problema. Mythiyah a declarat pentru PCMag că aplicația blochează acum numărul de parole pe care un utilizator le poate introduce indiferent de adresa IP.
Într-un e-mail, Instagram a declarat pentru PCMag: „Am remediat problema și nu am găsit niciun exploit. Suntem recunoscători analistului care a ajutat la identificarea problemei.” Facebook, care deține Instagram, are un program care recompensează găsirea lui Bugs prin Bugcrowd, care a donat 30.000 de dolari lui Muthiyah pentru descoperirea sa.
[the_ad_group id = ”966 ″]ΜNu uitați să vă înscrieți (înregistrați) pe forumul nostru, lucru care se poate face foarte ușor prin următorul buton...
(Dacă aveți deja un cont pe forumul nostru, nu trebuie să urmați linkul de înregistrare)
Alaturati-va comunitatii noastre
Urmărește-ne pe Telegram!
