Уязвимость в системе авторизации Instagram была обнаружена экспертом по информационной безопасности Арне Свинненом.
Специалист утверждает, что при отсутствии контроля аутентификации преступники, используя уязвимость, могли осуществить взлом около 20 миллионов аккаунтов (4% от общего количества существующих учетных записей). Источником существования уязвимости являлась система временной блокировки аккаунта.
Свиннен в ходе проводимой им проверки безопасности выяснил, что формы верификации аккаунтов могут иметь различия. Уязвимость не была обнаружена в некоторых формах, однако в других она давала хакеру возможность заполучить доступ к аккаунту. Эксперт считает, при изменении телефонного номера, соответствующего аккаунту пользователя, можно было получить доступ к 39000 учетных записей. Кроме того, у злоумышленника была возможность изменять 1700 адресов электронных почтовых ящиков пользователей.
Как утверждает Свиннен, хакер мог заполучить доступ к пользовательским персональным данным и с легкостью изменять телефонные номера в аккаунтах Instagram. После того, как хакер вводил новый номер, он мог использовать функцию изменения пароля с помощью SMS-сообщения и получить полный доступ к учетной записи.
Специалисты Facebook ликвидировали уязвимость, а Свиннен получил вознаграждение в 5000 долларов.