Уязвимост в Instagram е давала възможност за хакване на произволен акаунт само за 10 минути

3
546

Експертът по информационна безопасност Лаксман Мутия (Laxman Muthiyah) съобщи за опасна уязвимост в мобилното приложение Instagram. Използването на тази уязвимост дава възможност да се разбере паролата за произволен Instagram акаунт и да се поеме контрола върху него.

Възстановяването на паролата е функция даваща възможност на потребителя да възстанови достъпа си към даден уеб сайт, ако е забравил тази парола. В Instagram е необходимо да се потвърди тайния код от шест символа, изпратен като съобщение в телефона или като имейл. С тази код потребителите потвърждават своята личност, а срокът на неговото действие е 10 минути.

Чрез използване метода на грубата сила е възможно да се проникне във всеки акаунт на Instagram, като последователно се подават всички възможни комбинации, докато не бъде въведена необходимата. Естествено, това се знае от създателите на приложението и в Instagram е въведено ограничение на скоростта на въвеждането на символите с цел предотвратяване на атаките от подобен вид. Мутия открил, че може да се справи с това ограничение, ако подава комбинациите от символи от различни IP адреси.

Реално, на потенциалния хакер са необходими 5000 IP адреса, за да се подбере необходимата парола. На пръв поглед това е сложна задача, но тя е съвсем лесна за изпълнение, ако се използват облачните услуги на Amazon или Google. Експертът заяви, че цената на тази услуга за използването на електронен облак е $150.

Мутия демонстрира и експлойт за тази уязвимост. За тази информация компанията плати на експерта $30 000.

3
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
2 Отговори на коментарите
3 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Илия
Илия

Къде са нашите форумни спецове, за да обяснят на Инстаграм, че трябва да са отговорни и да пазят данните на клиентите си?

koko
koko

ма то омрял ма

Angel
Angel

Какво има да обясняваш. Има си закон за Съхранение на лични данни и той си е ясен.. Кой го интересува какво пише във форума ..