Badacz zajmujący się cyberbezpieczeństwem – Laxman Muthiyah – znalazł lukę w bezpieczeństwie Instagrama, pozwalającą mu uzyskać dostęp do dowolnego konta Instagram w ciągu dziesięciu minut. Napisał w swoim odkryciu na blogu Zero Hack.
Muthiyah wykorzystał z niedoskonałości systemu odzyskiwania hasła. Przy jego zmianie, użytkownikowi na smartfon lub na adres e-mail jest wysyłany cyfrowy kod w celu sprawdzenia, że to on dokonuje zmiany hasła.
Muthiyah chciał sprawdzić co się stanie jeśli wysłać milion kodów i czy wtedy będzie można w końcu odgadnąć hasło. Gdy próbował zrealizować swój plan w życie, stwierdził, że Instagram ogranicza liczbę możliwych żądań z jednego adresu IP. Badacz mógł pokonać te ograniczenia, korzystając z tysięcy różnych adresów IP do wysyłania kodów.
Za pomocą tych adresów wysłał ponad 200 tysięcy zapytań w ciągu dziesięciu minut — czas, w którym upływa termin ważności wysłanego użytkownikowi kodu. W końcu doszedł do tego, że do włamania do dowolnego konta na Instagram potrzebne jest pięć tysięcy adresów IP, z których powinno być wysłane jeden milion zapytań. Według jego słów, zasoby do takiego ataku można kupić za stosunkowo niewielką kwotę 150 Dolarów (około 555 zł).
Specjalista ostrzegł firmę Facebook o znalezionej przez niego luce w zabezpieczeniach. Facebook w odpowiedzi na list poinformował o tym, że usterkę naprawiono i nagrodził specjalistę sumą 30 tysięcy Dolarów (około 110.000 zł).
Zostaw komentarz