Bármelyik Instagram fiók feltörhető volt

 

Kritikus biztonsági hibát fedeztek fel a Facebook tulajdonában álló fotómegosztó alkalmazásban, az Instagramban. A biztonsági rés lehetővé tette a támadók számára, hogy felhasználói interakció nélkül teljesen átvegyék az irányítást egy adott fiók felett. Egy indiai biztonsági szakértő, Laxman Muthiyah jelentette a biztonsági rést, ami a szolgáltatás mobil verziójának jelszó visszaállítási implementációját érintette. A jelszavak visszaállítása során a felhasználók e-mailben vagy SMS-ben kapnak egy tíz percig aktív, hat számjegyből álló kódot, amellyel megerősíthetik a műveletet. Amennyiben hozzáférést szeretnének szerezni egy fiókhoz, a támadóknak ez idő alatt kell a lehetséges egy millió kódkombinációt  kipróbálniuk. A szakértő ezzel kapcsolatban azonban egy súlyos hiányosságot fedezett fel, miszerint a jelszó visszaállítási folyamat kapcsán nincs megfelelően szabályozva, hogy az érvényességi időn belül a rendszer hány jelszó próbálgatási kérést fogad el. Ennek tudatában Muthiyah különböző IP címekről párhuzamosan küldött kéréseket, amely módszerrel sikeresen hozzáférést tudott szerezni a kiszemelt fiókokhoz. A támadási módszerről videót is közzétett.

(securityaffairs.co)