یک تحلیلگر امنیتی آسیب پذیری را در مراحل بازیابی اکانت اینستاگرام که به او امکان دسترسی به یک حساب آزمایشی را می داد.
Έیک تحلیلگر امنیتی اشکالی را در فرآیند بازیابی حساب اینستاگرام پیدا کرده است که ممکن است بسیاری از حساب ها را در معرض خطر قرار داده باشد.
تحلیلگر Laxman Muthiyah در حین بررسی اینکه چگونه برنامه به شما اجازه می دهد پس از فراموش کردن رمز عبور به حساب خود دسترسی پیدا کنید، این خطا را کشف کرد. برای احراز هویت، اینستاگرام یک عدد شش رقمی تصادفی را از طریق پیامک به گوشی کاربر ارسال می کند که امکان دسترسی به حساب کاربری را فراهم می کند.
محقق تعجب کرد که آیا می توان از این تکنیک استفاده کرد؟نیروی بی رحمبرای دور زدن سیستم. در این روش هزاران ترکیب تصادفی وارد می شوند تا زمانی که ترکیب صحیح پیدا شود. در این مورد این ترفند جواب داد، اما شرایط خاصی وجود دارد که کل فرآیند را کاملاً پیچیده می کند.
به طور دقیق تر، اینستاگرام محدودیت هایی برای وارد کردن این کدها دارد. بنابراین شما محدودیت 250 تلاش برای هر آدرس IP دارید که باید در بازه زمانی ده دقیقه ای انجام شود.
برای حدس زدن یک کد شش رقمی باید حدود یک میلیون ترکیب مختلف را امتحان کنید. این عدد برای ایمن نگه داشتن سیستم از یک کاربر ساده کافی است. با این حال Mutiyah راهی برای خودکار کردن این فرآیند پیدا کرد. نوشتن یک برنامه قادر بود حجم عظیمی از ترکیبات تصادفی را از لیستی از آدرس های IP مختلف وارد کند.
Muthiyah ویدئویی از این حمله را آپلود کرد که نشان می داد او 200.000 ترکیب مختلف را برای شکستن یک حساب آزمایشی ارسال می کند. "در یک حمله واقعی، مهاجم برای شکستن حساب به حدود 5.000 IP نیاز دارد. ممکن است عدد بزرگی به نظر برسد اما در واقعیت دشوار نیست. اگر از یک سرویس ابری از آمازون یا گوگل استفاده می کنید، برای حمله کامل به یک میلیون رمز عبور حدود 150 دلار هزینه خواهید داشت. او در مطلبی مرتبط گفت بلاگ.
خبر خوب این است که اینستاگرام این مشکل را برطرف کرده است. Mythiyah به PCMag گفت که این برنامه اکنون تعداد گذرواژههایی را که کاربر میتواند بدون توجه به آدرس IP خود وارد کند، مسدود میکند.
اینستاگرام در ایمیلی به PCMag گفت: «مشکل را برطرف کردهایم و هیچ اکسپلویتی پیدا نکردهایم. ما از تحلیلگری که به شناسایی مشکل کمک کرد سپاسگزاریم." فیس بوک که مالک اینستاگرام است، برنامه ای دارد که به یافتن باگ از طریق Bugcrowd پاداش می دهد که 30.000 دلار به Muthiyah برای کشف او اهدا کرد.
[شناسه گروه_بسته = "966]