avatar_alexsf

Уязвимость в Instagram позволяла захватить любой аккаунт за считанные минуты

Автор alexsf, 22-07-2019, 09:19

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

alexsfTopic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Независимый исследователь из Индии Лаксман Мутиях (Laxman Muthiyah) заработал 30 000 долларов, обнаружив в Instagram You are not allowed to view links. Register or Login, связанную с восстановлением паролей в мобильной версии сервиса.

Вот время процедуры сброса пароля от Instagram пользователи должны получить и подтвердить секретный шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Конечно, частота попыток ввода этих кодов ограничена, и тем самым Instagram защищаетсвоих пользователей от брутфорса.

Но исследователь обнаружил, что защитные ограничения сервиса можно обойти, посылая запросы с разных IP-адресов и провоцируя возникновение состояния гонки (отправляя параллельные запросы для одновременной обработки нескольких попыток ввода).

Как видно в PoC-видео ниже, специалист без труда перебирает 200 000 различных комбинаций кодов (примерно 20% от общего числа) и не вызывает подозрений у Instagram, избегая блокировки.


«Злоумышленнику потребуется 5000 IP-адресов для взлома учетной записи. Звучит серьезно, но на самом деле это нетрудно, если воспользоваться услугами провайдеров облачных услуг, таких как Amazon или Google. Для одной атаки потребуется около 150 долларов, и этого хватит на перебор миллиона кодов», — пишет Мутиях.

Так как разработчики Instagram уже исправили найденный экспертом баг, в своем блоге Мутиях опубликовал не только видео с демонстрацией атаки, но и PoC-эксплоит.

Как уже было сказано выше, данная уязвимость принесла специалисту 30 000 долларов по программе bug bounty. И это не первый случай, когда индийский исследователь находит серьезные Баги. К примеру, в 2015 году он обнаружил проблему, позволяющую You are not allowed to view links. Register or Login в Facebook.

You are not allowed to view links. Register or Login
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В одни руки выдаем любой 1 ключ. Всего 1 любой ключ.

Следующий ключ не ранее, чем за 3 дня до окончания лицензии.

Есть ключи на Norton AntiVirus Plus 2023 1 ПК / до 10.2024 You are not allowed to view links. Register or Login

Есть Не активы для NS и NSBU на 90 дней

You are not allowed to view links. Register or Login

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.