En säkerhetsanalytiker har upptäckt en sårbarhet i Instagram-kontoåterställningsprocess som gav honom tillgång till ett testkonto.
ΈEn säkerhetsanalytiker har hittat en bugg i processen för att återställa ett Instagram-konto som kan ha utsatt många konton för risker.
Analytikern Laxman Muthiyah upptäckte felet när han undersökte hur applikationen låter dig återfå åtkomst till ditt konto efter att du har glömt lösenordet. För autentisering skickar Instagram ett slumpmässigt sexsiffrigt nummer via SMS till användarens telefon, vilket ger tillgång till kontot.
Forskaren undrade om man kunde använda tekniken "brute force”Att kringgå systemet. I den här metoden skrivs tusentals slumpmässiga kombinationer in tills den korrekta hittas. I det här fallet fungerade tricket, men det finns specifika förhållanden som gör hela processen ganska komplicerad.
Mer specifikt har Instagram begränsningar för att ange dessa koder. Så du har en gräns på 250 försök per IP-adress som ska göras inom tio minuters tidsram.
För att gissa en sexsiffrig kod måste du prova ungefär en miljon olika kombinationer. Detta nummer är tillräckligt för att skydda systemet från en enkel användare. Men Mutiyah hittade ett sätt att automatisera processen. Att skriva ett program kunde importera enorma volymer av slumpmässiga kombinationer från en lista med olika IP-adresser.
Muthiyah laddade upp en video av attacken som visar honom skicka 200.000 5.000 olika kombinationer för att försöka bryta ett testkonto. "I en riktig attack kommer angriparen att behöva cirka 150 XNUMX IP-adresser för att bryta kontot. Det kan låta som en stor siffra men i verkligheten är det inte svårt. Om du använder en molntjänst från Amazon eller Google kommer det att kosta dig cirka XNUMX $ att göra en komplett attack med en miljon lösenord." Han sa i en relaterad Blogg.
Den goda nyheten är att Instagram har åtgärdat problemet. Mythiyah sa till PCMag att applikationen nu blockerar antalet lösenord en användare kan ange oavsett deras IP-adress.
I ett e-postmeddelande sa Instagram till PCMag: "Vi har åtgärdat problemet och har inte hittat någon exploatering. Vi är tacksamma för analytikern som hjälpte till att identifiera problemet." Facebook, som äger Instagram, har ett program som belönar att hitta buggar genom Bugcrowd, som donerade 30.000 XNUMX $ till Muthiyah för hans upptäckt.
[the_ad_group id = ”966 ″]