Программист Лаксман Мутийя смог обнаружить в Instagram уязвимость, позволившую ему получить доступ к любому аккаунту в социальной сети за десять минут. Об этом он написал в своем блоге Zero Hack.
Мутийя воспользовался несовершенством системы восстановления пароля. При его смене пользователю на смартфон или на электронную почту обычно отправляется цифровой код, чтобы удостовериться, что смену пароля производит именно он. Эксперт предположил, что если отправить один миллион кодов, можно в итоге угадать верный.
Instagram ограничивает количество возможных запросов. Мутийя смог преодолеть ограничения соцсети, воспользовавшись тысячей IP-адресов для отправки кодов. С помощью них он отправил более 200 тысяч запросов за десять минут — время, за которое истекает срок действия кода, отправленного пользователю.
Хакер вычислил, что для взлома любого аккаунта в Instagram понадобится пять тысяч IP-адресов, с которых должен быть отправлен один миллион запросов. По его словам, ресурсы для такой атаки возможно приобрести за сравнительно небольшую сумму — $150.
Специалист предупредил компанию Facebook, владеющую Instagram, о найденной им уязвимости. В компании ответили, что исправили уязвимость, и наградили специалиста $30 тысячами.
Источник: