Un analista de seguretat ha descobert una vulnerabilitat a Procés de recuperació del compte d'Instagram que li va donar accés a un compte de prova.
ΈUn analista de seguretat ha trobat un error en el procés de recuperació del compte d'Instagram que pot haver posat en risc molts comptes.
L'analista Laxman Muthiyah va descobrir l'error mentre investigava com l'aplicació us permet recuperar l'accés al vostre compte després d'haver oblidat la contrasenya. Per a l'autenticació, Instagram envia un número aleatori de sis dígits per SMS al telèfon de l'usuari, que dóna accés al compte.
L'investigador es va preguntar si es podria utilitzar la tècnica "força bruta"Per evitar el sistema. En aquest mètode, s'introdueixen milers de combinacions aleatòries fins que es trobi la correcta. En aquest cas el truc va funcionar, però hi ha circumstàncies concretes que fan que tot el procés sigui bastant complicat.
Més concretament, Instagram té restriccions per introduir aquests codis. Per tant, teniu un límit de 250 intents per adreça IP per fer en el període de deu minuts.
Per endevinar un codi de sis dígits, heu de provar un milió de combinacions diferents. Aquest número és suficient per protegir el sistema d'un usuari senzill. Tanmateix, Mutiyah va trobar una manera d'automatitzar el procés. L'escriptura d'un programa va ser capaç d'importar grans volums de combinacions aleatòries d'una llista de diferents adreces IP.
Muthiyah va penjar un vídeo de l'atac que mostrava enviant 200.000 combinacions diferents intentant trencar un compte de prova. "En un atac real, l'atacant necessitarà unes 5.000 IP per trencar el compte. Pot semblar un gran nombre, però en realitat no és difícil. Si utilitzeu un servei al núvol d'Amazon o Google, us costarà uns 150 dòlars fer un atac complet d'un milió de contrasenyes". Va dir en un relat Bloc.
La bona notícia és que Instagram ha solucionat el problema. Mythiyah va dir a PCMag que l'aplicació ara bloqueja el nombre de contrasenyes que un usuari pot introduir independentment de la seva adreça IP.
En un correu electrònic, Instagram va dir a PCMag: "Hem solucionat el problema i no hem trobat cap exploit. Estem agraïts a l'analista que va ajudar a identificar el problema". Facebook, propietari d'Instagram, té un programa que premia trobar Bugs a través de Bugcrowd, que va donar 30.000 dòlars a Muthiyah pel seu descobriment.
[the_ad_group id = ”966 ″]ΜNo oblidis unir-te (registrar-te) al nostre fòrum, que es pot fer molt fàcilment amb el següent botó...
(Si ja teniu un compte al nostre fòrum no cal que seguiu l'enllaç de registre)
Uneix-te a la nostra comunitat
Segueix-nos a Telegram!
