Безопасность в глобальной сети Интернет

Уязвимость входа в Instagram

Исследователь нашел способ взломать учетные записи Instagram в течение нескольких минут. Как выяснилось, уязвимость входа в Instagram может позволить потенциальным хакерам обойти двухфакторную аутентификацию.

Обнаружена уязвимость входа в Instagram

Как выяснилось в недавнем сообщении в блоге , исследователь Laxman Muthiyah заметил недостаток, который угрожал пользователям Instagram. Он обнаружил уязвимость входа в Instagram, которая может позволить злоумышленнику обойти 2FA.

Ища вероятный недостаток в платформе Facebook и Instagram, он протестировал конечную точку “забыли пароль” в Instagram. Хотя казалось, что нет никаких проблем с ссылкой сброса пароля на веб-интерфейс, мобильная платформа всё таки имеет уязвимости.

Как и обычный метод проверки, платформа отправила шестизначный код сброса пароля на мобильный номер пользователя. И, как в случае с другими кодами, хакер может использовать brute force. Исследователь полагал, что будет некоторое ограничение скорости, чтобы предотвратить грубую атаку.

Хотя платформа действительно применяет ограничение скорости, он также заметил два метода, для которых можно обойти такое ограничение: отсутствие черного списка IP и состояние “гонки”. Как говорится в его блоге,

Я был в состоянии отправлять запросы непрерывно, не будучи заблокирован, даже если количество запросов, которые я могу отправить в доли времени ограничено.

Тем не менее, это было не так просто, как кажется. Исследователь объяснил, что срок действия кода истекает в течение 10 минут. Таким образом, чтобы успешно использовать недостаток, злоумышленник должен был бы выполнить атаку с использованием 1000s IPs.

Хотя исследователь дал PoC в своем блоге, он также продемонстрировал атаку в следующем видео.

$30K в качестве вознаграждения

Хотя существуют некоторые ограничения, которые потенциально могут предотвратить успешную атаку, уязвимость является большой проблемой. Как объяснил исследователь, хакер мог обладать ресурсами для его использования.

В реальном сценарии атаки злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. Это кажется много, но это на самом деле провести атаку легко, если вы используете поставщика облачных услуг, как Amazon или Google. Полная атака одного миллиона кодов обойдется примерно в 150 долларов.

Он сообщил об уязвимости Instagram для Facebook, после чего Facebook выписали ему награду в размере $30,000.

Related Articles

Что такое брандмауэр и для чего он нужен?

12.11.2019

DeepSound — инструмент для аудио стеганографии

05.11.2019

Cangibrina — инструмент поиска панели администратора

21.10.2019

Обзор безопасности IPv6: маленький взгляд в будущее

18.10.2019

Топ 100 000 общих паролей, которые уже известны хакерам

08.10.2019

pwdump 1.4.2 и fgdump 1.3.4 — сброс пароля Windows

02.10.2019

Что такое обратный DNS? Основные инструменты для выполнения обратного поиска DNS

26.09.2019

Anteater-CI/CD система проверки безопасности Framework

22.09.2019

SystemBC Malware прокладывает путь для других вредоносных атак

04.08.2019

Обнаружены уязвимости в Comodo Antivirus

28.07.2019

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Adblock
detector . 207 запросов. 0,267 секунд.