Уязвимость в Instagram позволяла взломать любой аккаунт за 10 минут

2017 годика рождения
Начинающий
Статус
Оффлайн
Регистрация
21 Май 2017
Сообщения
129
Реакции[?]
29
Поинты[?]
0
Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

«Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут), отправленный на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность.

С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций, но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа.

В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150, пояснил эксперт.

Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.
 
Забаненный
Статус
Оффлайн
Регистрация
11 Янв 2018
Сообщения
2,375
Реакции[?]
454
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
а я так и не понял, где уязвимость? брутфорс? ммммммммм
 
Участник
Статус
Оффлайн
Регистрация
11 Май 2019
Сообщения
454
Реакции[?]
157
Поинты[?]
0
а я так и не понял, где уязвимость? брутфорс? ммммммммм
но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа.
 
Забаненный
Статус
Оффлайн
Регистрация
11 Янв 2018
Сообщения
2,375
Реакции[?]
454
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
эм прокси? и это уязвимость?
 
Забаненный
Статус
Оффлайн
Регистрация
11 Янв 2018
Сообщения
2,375
Реакции[?]
454
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Сверху Снизу