Исследователь в области кибербезопасности Лаксман Мутийя (Laxman Muthiyah) нашел в Instagram уязвимость, которая позволила ему получить доступ к любому аккаунту в соцсети за десять минут. Об этом он написал в своем блоге Zero Hack.
Мутийя воспользовался несовершенством системы восстановления пароля. При его изменении пользователю на смартфон или по электронной почте обычно отправляется цифровой код с целью удостовериться, что изменение пароля производит именно он.
Эксперт предположил, что если отправить одного миллиона кодов, можно в итоге угадать верный. Однако когда хакер попытался воплотить свой план в жизнь, он столкнулся с тем, что Instagram ограничивает количество возможных запросов.
Мутийя смог преодолеть ограничения соцсети, воспользовавшись тысячей IP-адресов для отправки кодов. С помощью них он отправил более 200 000 запросов за десять минут - время, за которое истекает срок действия отправленного пользователю кода.
Хакер вычислил, что для взлома любого аккаунта в Instagram понадобится пять тысяч и IP-адресов, с которых должен быть отправлен один миллион запросов. По его словам, ресурсы для такой атаки можно приобрести за сравнительно небольшую сумму - 150 долларов (около девяти тысяч рублей).
Специалист предупредил компанию Facebook, владеющая Instagram, о найденной им уязвимости. Facebook прислал хакеру ответное письмо, в котором сообщил о том, что исправил уязвимость и наградил специалиста суммой в размере 30 000 долларов (примерно 19 миллиона рублей).
Мутийя воспользовался несовершенством системы восстановления пароля. При его изменении пользователю на смартфон или по электронной почте обычно отправляется цифровой код с целью удостовериться, что изменение пароля производит именно он.
Эксперт предположил, что если отправить одного миллиона кодов, можно в итоге угадать верный. Однако когда хакер попытался воплотить свой план в жизнь, он столкнулся с тем, что Instagram ограничивает количество возможных запросов.
Мутийя смог преодолеть ограничения соцсети, воспользовавшись тысячей IP-адресов для отправки кодов. С помощью них он отправил более 200 000 запросов за десять минут - время, за которое истекает срок действия отправленного пользователю кода.
Хакер вычислил, что для взлома любого аккаунта в Instagram понадобится пять тысяч и IP-адресов, с которых должен быть отправлен один миллион запросов. По его словам, ресурсы для такой атаки можно приобрести за сравнительно небольшую сумму - 150 долларов (около девяти тысяч рублей).
Специалист предупредил компанию Facebook, владеющая Instagram, о найденной им уязвимости. Facebook прислал хакеру ответное письмо, в котором сообщил о том, что исправил уязвимость и наградил специалиста суммой в размере 30 000 долларов (примерно 19 миллиона рублей).
