Дослідник в сфері кібербезпеки Лаксман Мутійя знайшов в Instagram вразливість, яка дозволила йому отримати доступ до будь-якого аккаунту в соцмережі за десять хвилин.
Про це він написав у своєму блозі Zero Hack. Мутійя скористався недосконалістю системи відновлення пароля. При його зміні користувачеві на смартфон або на електронну пошту зазвичай відправляється цифровий код з метою упевнитися, що зміну пароля виробляє саме він.
Експерт припустив, що якщо відправити один мільйон кодів, можна в підсумку вгадати вірний. Однак коли хакер спробував втілити свій план в життя, він зіткнувся з тим, що Instagram обмежує кількість можливих запитів. Мутійя зміг подолати обмеження соцмережі, скориставшись тисячею IP-адрес для відправки кодів. За допомогою них він відправив більше 200 тисяч запитів за десять хвилин – час, за яке закінчується термін дії відправленого користувачеві коду.
Хакер обчислив, що для злому будь-якого облікового запису в Instagram знадобиться п’ять тисяч і IP-адрес, з яких повинен бути відправлений один мільйон запитів. За його словами, ресурси для такої атаки можливо придбати за порівняно невелику суму – 150 доларів.
Фото Pixabay.
