Автор Тема: Уязвимость в Instagram позволяла захватить любой аккаунт за считанные минуты  (Прочитано 87 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 62557
  • Регистрация: 29-03-2010
  • Возраст: 55
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 64601
  • -Поблагодарили: 127199
  • Награды За 50 000 сообщений Главному Админу Новостнику форума Ключнику форума За активность в разделе Игры За активность в разделе Софт За активность в разделе Киноиндустрия За активность в разделах Книги и Аудио-книги За активность в разделе Музыка За активность в разделе Кулинария Тем, кто привел пользователей на наш форум За искрометный юмор
    • Награды
https://i.postimg.cc/5y5XqXvX/kiss-72kb-1563776119.png

Независимый исследователь из Индии Лаксман Мутиях (Laxman Muthiyah) заработал 30 000 долларов, обнаружив в Instagram [Ссылки могут видеть только зарегистрированные пользователи. ], связанную с восстановлением паролей в мобильной версии сервиса.

Вот время процедуры сброса пароля от Instagram пользователи должны получить и подтвердить секретный шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Конечно, частота попыток ввода этих кодов ограничена, и тем самым Instagram защищаетсвоих пользователей от брутфорса.

Но исследователь обнаружил, что защитные ограничения сервиса можно обойти, посылая запросы с разных IP-адресов и провоцируя возникновение состояния гонки (отправляя параллельные запросы для одновременной обработки нескольких попыток ввода).

Как видно в PoC-видео ниже, специалист без труда перебирает 200 000 различных комбинаций кодов (примерно 20% от общего числа) и не вызывает подозрений у Instagram, избегая блокировки.


«Злоумышленнику потребуется 5000 IP-адресов для взлома учетной записи. Звучит серьезно, но на самом деле это нетрудно, если воспользоваться услугами провайдеров облачных услуг, таких как Amazon или Google. Для одной атаки потребуется около 150 долларов, и этого хватит на перебор миллиона кодов», — пишет Мутиях.

Так как разработчики Instagram уже исправили найденный экспертом баг, в своем блоге Мутиях опубликовал не только видео с демонстрацией атаки, но и PoC-эксплоит.

Как уже было сказано выше, данная уязвимость принесла специалисту 30 000 долларов по программе bug bounty. И это не первый случай, когда индийский исследователь находит серьезные Баги. К примеру, в 2015 году он обнаружил проблему, позволяющую [Ссылки могут видеть только зарегистрированные пользователи. ] в Facebook.

[Ссылки могут видеть только зарегистрированные пользователи. ]

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.