Специалист в области безопасности из Индии нашел способ взломать любой аккаунт Instagram. Лаксман Матья провел независимое исследование и обнаружил баг, который позволяет получить доступ к аккаунту без взаимодействия с его владельцем.
Он сразу же сообщил о найденной ошибке представителям Instagram, за что получил вознаграждение в размере $30 000. Как поясняет специалист, баг является частью механизма восстановления пароля учетной записи. Ошибку можно было использовать только в мобильной версии Instagram. Однако, стоит отметить, что сервис используется чаще всего на мобильных устройствах.
Как злоумышленники могли использовать эту уязвимость? Когда пользователь пытается восстановить пароль, ему высылается шестизначный код доступа, который действует 10 минут. Он приходит на телефон пользователя или на указанную им почту.
Чтобы подобрать этот код, хакеру необходимо перебрать миллионы комбинаций цифр. Лаксман Матья решил выяснить, сколько допустимых запросов можно сделать. Так он выяснил, что механизм «черный список» отсутствует. Это позволило специалисту непрерывно отправлять миллионы запросов, а система его так и не заблокировала.
Для проведения своей атаки исследователь использовал 1000 IP адресов, потому что шестизначный код действителен всего 10 минут.
Посмотреть на то, как Лаксман Матья проводил свою атаку можно тут.