Безбедносни аналитичар је открио рањивост у Процес опоравка Инстаграм налога што му је омогућило приступ пробном налогу.
ΈБезбедносни аналитичар је пронашао грешку у процесу опоравка налога на Инстаграму која је можда угрозила многе налоге.
Аналитичар Лакман Мутхииах открио је грешку док је истраживао како вам апликација омогућава да поново добијете приступ свом налогу након што сте заборавили лозинку. За аутентификацију, Инстаграм шаље насумични шестоцифрени број путем СМС-а на телефон корисника, који даје приступ налогу.
Истраживач се питао да ли се може користити техника "бруте форце„Да заобиђемо систем. У овој методи се уносе хиљаде насумичних комбинација док се не пронађе исправна. У овом случају трик је успео, али постоје специфичне околности које цео процес чине прилично компликованим.
Тачније, Инстаграм има ограничења за унос ових кодова. Дакле, имате ограничење од 250 покушаја по ИП адреси у року од десет минута.
Да бисте погодили шестоцифрени код, морате испробати око милион различитих комбинација. Овај број је довољан да заштити систем од једноставног корисника. Међутим, Мутииах је пронашао начин да аутоматизује процес. Писањем програма било је могуће увести огромне количине насумичних комбинација са листе различитих ИП адреса.
Мутхииах је поставио снимак напада на којем се види како шаље 200.000 различитих комбинација покушавајући да разбије пробни налог. „У правом нападу, нападачу ће бити потребно око 5.000 ИП адреса да би разбио налог. Можда звучи као велики број, али у стварности није тешко. Ако користите услугу у облаку од Амазона или Гоогле-а, коштаће вас око 150 долара да извршите потпуни напад од милион лозинки. Рекао је у сродном Blog.
Добра вест је да је Инстаграм решио проблем. Митхииах је за ПЦМаг рекао да апликација сада блокира број лозинки које корисник може унети без обзира на њихову ИП адресу.
У е-поруци, Инстаграм је рекао ПЦМагу: „Поправили смо проблем и нисмо пронашли никакав експлоат. Захвални смо аналитичару који је помогао у идентификацији проблема." Фејсбук, који поседује Инстаграм, има програм који награђује проналажење грешака преко Бугцровд-а, који је донирао 30.000 долара Мутхији за његово откриће.
[тхе_ад_гроуп ид = ”966 ″]ΜНе заборавите да се придружите (региструјете) на нашем форуму, што се може врло лако урадити помоћу следећег дугмета…
(Ако већ имате налог на нашем форуму, не морате да пратите везу за регистрацију)
Пратите нас на Телеграму!
