מנתח אבטחה גילה פגיעות ב תהליך שחזור חשבון אינסטגרם מה שנתן לו גישה לחשבון בדיקה.
Έמנתח אבטחה מצא באג בתהליך שחזור חשבון אינסטגרם שאולי סיכן חשבונות רבים.
האנליסט Laxman Muthiyah גילה את השגיאה בזמן שחקר כיצד האפליקציה מאפשרת לך לקבל בחזרה גישה לחשבון שלך לאחר ששכחת את הסיסמה. לצורך אימות, אינסטגרם שולחת מספר אקראי בן שש ספרות באמצעות SMS לטלפון של המשתמש, מה שנותן גישה לחשבון.
החוקר תהה אם אפשר להשתמש בטכניקה "כוח זרוע"לעקוף את המערכת. בשיטה זו, מוזנים אלפי צירופים אקראיים עד שנמצא הנכון. במקרה זה הטריק עבד, אבל יש נסיבות ספציפיות שהופכות את כל התהליך למסובך למדי.
ליתר דיוק, לאינסטגרם יש הגבלות על הזנת קודים אלה. אז יש לך מגבלה של 250 ניסיונות לכל כתובת IP שיבוצעו בתוך מסגרת הזמן של עשר הדקות.
כדי לנחש קוד בן שש ספרות צריך לנסות כמיליון שילובים שונים. מספר זה מספיק כדי לשמור על בטיחות המערכת מפני משתמש פשוט. אולם Mutiyah מצא דרך להפוך את התהליך לאוטומטי. כתיבת תוכנית הצליחה לייבא כמויות עצומות של שילובים אקראיים מרשימה של כתובות IP שונות.
Muthiyah העלה סרטון של המתקפה בו נראה אותו שולח 200.000 שילובים שונים מנסים לשבור חשבון בדיקה. "במתקפה אמיתית, התוקף יזדקק לכ-5.000 כתובות IP כדי לשבור את החשבון. זה אולי נשמע כמו מספר גדול אבל במציאות זה לא קשה. אם אתה משתמש בשירות ענן של אמזון או גוגל, זה יעלה לך כ-150 דולר לבצע התקפה מלאה של מיליון סיסמאות". הוא אמר בקשר בלוג.
החדשות הטובות הן שאינסטגרם תיקנה את הבעיה. Mythiyah אמר ל-PCMag שהאפליקציה חוסמת כעת את מספר הסיסמאות שמשתמש יכול להזין ללא קשר לכתובת ה-IP שלו.
באימייל, אינסטגרם אמרה ל-PCMag: "תיקנו את הבעיה ולא מצאנו שום ניצול. אנו אסירי תודה לאנליסט שעזר לזהות את הבעיה". לפייסבוק, שבבעלותה אינסטגרם, יש תוכנית שמתגמלת את מציאת באגים דרך Bugcrowd, שתרמה 30.000 דולר למותייה על גילויו.
[the_ad_group id = ”966 ″]Μאל תשכחו להצטרף (להירשם) לפורום שלנו, מה שניתן לעשות בקלות רבה על ידי הכפתור הבא...
(אם כבר יש לך חשבון בפורום שלנו אינך צריך להיכנס לקישור ההרשמה)
עקבו אחרינו בטלגרם!
