Un analista della sicurezza ha scoperto una vulnerabilità in Processo di recupero dell'account Instagram che gli ha dato accesso a un account di prova.
ΈUn analista della sicurezza ha trovato un bug nel processo di recupero di un account Instagram che potrebbe aver messo a rischio molti account.
L'analista Laxman Muthiyah ha scoperto l'errore mentre indagava su come l'applicazione consente di riottenere l'accesso al proprio account dopo aver dimenticato la password. Per l'autenticazione, Instagram invia un numero casuale di sei cifre tramite SMS al telefono dell'utente, che dà accesso all'account.
Il ricercatore si chiedeva se si potesse usare la tecnica"forza bruta”Per bypassare il sistema. In questo metodo, vengono inserite migliaia di combinazioni casuali fino a trovare quella corretta. In questo caso il trucco ha funzionato, ma ci sono condizioni specifiche che rendono l'intero processo piuttosto complicato.
Più specificamente, Instagram ha delle restrizioni sull'inserimento di questi codici. Quindi hai un limite di 250 tentativi per indirizzo IP da effettuare entro l'intervallo di tempo di dieci minuti.
Per indovinare un codice a sei cifre devi provare circa un milione di combinazioni diverse. Questo numero è sufficiente per mantenere il sistema al sicuro da un semplice utente. Tuttavia Mutiyah ha trovato un modo per automatizzare il processo. Scrivere un programma è stato in grado di importare enormi volumi di combinazioni casuali da un elenco di diversi indirizzi IP.
Muthiyah ha caricato un video dell'attacco in cui mostrava l'invio di 200.000 diverse combinazioni nel tentativo di rompere un account di prova. "In un vero attacco, l'attaccante avrà bisogno di circa 5.000 IP per rompere l'account. Può suonare come un gran numero ma in realtà non è difficile. Se utilizzi un servizio cloud di Amazon o Google, ti costerà circa $ 150 per effettuare un attacco completo di un milione di password. ” Ha detto in una relazione Blog.
La buona notizia è che Instagram ha risolto il problema. Mythiyah ha detto a PCMag che l'applicazione ora blocca il numero di password che un utente può inserire indipendentemente dal suo indirizzo IP.
In un'e-mail, Instagram ha dichiarato a PCMag: "Abbiamo risolto il problema e non abbiamo trovato alcun exploit. Siamo grati all'analista che ha aiutato a identificare il problema". Facebook, proprietario di Instagram, ha un programma che premia la ricerca di Bugs tramite Bugcrowd, che ha donato $ 30.000 a Muthiyah per la sua scoperta.
[l'id_gruppo_di_annunci = ”966 ″]