Уязвимость в Instagram позволяла взломать любой аккаунт за 10 минут

2017 годика рождения
Начинающий
Начинающий
Статус
Оффлайн
Регистрация
21 Май 2017
Сообщения
131
Реакции
29
Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.

«Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут), отправленный на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность.

С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций, но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа.

В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150, пояснил эксперт.

Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
а я так и не понял, где уязвимость? брутфорс? ммммммммм
 
а я так и не понял, где уязвимость? брутфорс? ммммммммм
но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа.
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
эм прокси? и это уязвимость?
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Назад
Сверху Снизу