Badacz zajmujący się cyberbezpieczeństwem –  Laxman Muthiyah – znalazł lukę w bezpieczeństwie Instagrama, pozwalającą mu uzyskać dostęp do dowolnego konta Instagram w ciągu dziesięciu minut. Napisał w swoim odkryciu na blogu Zero Hack.

 

Muthiyah wykorzystał z niedoskonałości systemu odzyskiwania hasła. Przy jego zmianie,  użytkownikowi na smartfon lub na adres e-mail jest wysyłany cyfrowy kod w celu sprawdzenia, że to on dokonuje zmiany hasła.

Muthiyah chciał sprawdzić co się stanie jeśli wysłać milion kodów i czy wtedy będzie  można w końcu odgadnąć hasło. Gdy próbował zrealizować swój plan w życie, stwierdził, że Instagram ogranicza liczbę możliwych żądań z jednego adresu IP. Badacz mógł pokonać te ograniczenia, korzystając z tysięcy różnych adresów IP do wysyłania kodów.

Za pomocą tych adresów wysłał ponad 200 tysięcy zapytań w ciągu dziesięciu minut — czas, w którym upływa termin ważności wysłanego użytkownikowi kodu. W końcu doszedł do tego, że do włamania do dowolnego konta na Instagram potrzebne  jest pięć tysięcy adresów IP, z których powinno być wysłane jeden milion zapytań. Według jego słów, zasoby do takiego ataku można kupić za stosunkowo niewielką kwotę 150 Dolarów (około 555 zł).

Specjalista ostrzegł firmę Facebook o znalezionej przez niego luce w zabezpieczeniach. Facebook w odpowiedzi na list poinformował o tym, że usterkę naprawiono i nagrodził specjalistę sumą 30 tysięcy Dolarów (około 110.000 zł).