Независимый специалист в сфере информационной безопасности из Индии Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в Instagram, которая позволяет взломать любую учетную запись сервиса, потратив на это порядка 10 минут и $150.
Ключ к успеху оказался в несовершенстве механизма восстановления паролей мобильной версии сервиса. Функция сброса пароля позволяет пользователю вернуть себе доступ к аккаунту в Instagram при помощи ввода секретного шестизначного цифрового кода, отправленного на привязанный к учетной записи номер мобильного телефона. Такой код действует в течение 10 минут.
Мутия рассматривал возможность перебора всех возможных комбинаций кода, но, как выяснилось, Instagram ограничивает частоту запросов: в первой итерации теста, проведенного хакером, 250 из 1 тыс. запросов достигли своей цели. Таким образом, взломать аккаунт простым перебором миллиона вариантов секретного кода, уложившись в 10 минут, оказалось невозможным.
Тем не менее, эксперт обратил свое внимание на отсутствие у Instagram механизма черного списка IP-адресов, то есть даже при превышении частоты обращений к сервису, интернет-адрес взломщика не подвергался блокировке. Воспользовавшись этим, хакер организовал одновременный перебор кодов со множества различных IP. Для успешного осуществления описанной атаки оказалось достаточно 1 тыс. адресов, однако, по его собственному признанию, в реальных условиях понадобилось бы около 5 тыс.
Как отметил специалист, при использовании облачных сервисов вроде Amazon Web Services или Google Cloud Platform данная, на первый взгляд непростая задача, решается достаточно легко и с минимальными затратами – примерно в $150.
Горячие темы