En sikkerhetsanalytiker har oppdaget en sårbarhet i Gjenopprettingsprosess for Instagram-kontoer som ga ham tilgang til en testkonto.
ΈEn sikkerhetsanalytiker har funnet en feil i gjenopprettingsprosessen for Instagram-kontoer som kan ha satt mange kontoer i fare.
Analytiker Laxman Muthiyah oppdaget feilen mens han undersøkte hvordan applikasjonen lar deg få tilgang til kontoen din igjen etter at du har glemt passordet. For autentisering sender Instagram et tilfeldig sekssifret nummer via SMS til brukerens telefon, som gir tilgang til kontoen.
Forskeren lurte på om man kunne bruke teknikken "brute force«For å omgå systemet. I denne metoden legges tusenvis av tilfeldige kombinasjoner inn til den riktige er funnet. I dette tilfellet fungerte trikset, men det er spesifikke omstendigheter som gjør hele prosessen ganske komplisert.
Mer spesifikt har Instagram begrensninger for å legge inn disse kodene. Så du har en grense på 250 forsøk per IP-adresse som skal gjøres innenfor tidsrammen på ti minutter.
For å gjette en sekssifret kode må du prøve rundt en million forskjellige kombinasjoner. Dette nummeret er nok til å holde systemet trygt fra en enkel bruker. Mutiyah fant imidlertid en måte å automatisere prosessen på. Å skrive et program var i stand til å importere enorme mengder tilfeldige kombinasjoner fra en liste over forskjellige IP-adresser.
Muthiyah lastet opp en video av angrepet som viser ham sende 200.000 5.000 forskjellige kombinasjoner som prøver å bryte en testkonto. "I et virkelig angrep vil angriperen trenge omtrent 150 IP-er for å bryte kontoen. Det kan høres ut som et stort tall, men i virkeligheten er det ikke vanskelig. Hvis du bruker en skytjeneste fra Amazon eller Google, vil det koste deg rundt XNUMX dollar å foreta et fullstendig angrep på en million passord. ” Han sa i en beslektet Blogg.
Den gode nyheten er at Instagram har løst problemet. Mythiyah fortalte PCMag at applikasjonen nå blokkerer antall passord en bruker kan skrive inn uavhengig av IP-adressen.
I en e-post sa Instagram til PCMag: "Vi har løst problemet og har ikke funnet noen utnyttelse. Vi er takknemlige for analytikeren som hjalp til med å identifisere problemet." Facebook, som eier Instagram, har et program som belønner å finne Bugs gjennom Bugcrowd, som donerte $30.000 XNUMX til Muthiyah for oppdagelsen hans.
[the_ad_group id = ”966 ″]