Опасные пароли: как хакер взломал Instagram за 10 минут
Эксперт по кибербезопасности Лаксман Мутийя нашел способ, как взломать любой Instagram-аккаунт за десять минут — об этом он сообщил в своем блоге. По словам Мутийии, уязвимость находилась в системе восстановления пароля, когда пользователю отправляется одноразовый цифровой код, чтобы подтвердить свою личность, пишет Gazeta.ru
Эксперт обнаружил уязвимость в системе восстановления пароля к своему Instagram-аккаунту. Дело в том, что когда пользователь вводит свой номер телефона для возобновления доступа к профилю, Instagram отправляет ему шестизначный цифровой код, который необходимо ввести для подтверждения личности.
Лаксман Мутийя решил, что если он сможет попробовать миллион разных кодов на этом этапе, то один совершенно точно подойдет, что приведет к смене пароля у любого Instagram-аккаунта.
Тем не менее, эксперт справедливо решил, что у фотосервиса наверняка будет установлена защита против такой атаки “в лоб”.
Действительно, Instagram ограничивал количество запросов на смену, которые может отправить пользователь. Тогда путем расчетов Мутийя установил, что для успешного взлома ему понадобится 5 тыс. IP-адресов, каждый из которых отправит 200 тыс. запросов. По словам хакера, это не так сложно осуществить, если воспользоваться облачным сервисом Google или Amazon. При этом вся атака обойдется злоумышленнику в $150.
Свои изыскания Лаксман Мутийя направил администрации Facebook, которая убедилась в небезопасности существующей системы. Как следует из письма, отправленного руководством социальной сети, уязвимость в Instagram была устранена, а сам Мутийя получил $30 тыс. вознаграждения в качестве “bug bounty” — компенсации за выявленные недостатки.
Он рекомендует регулярно менять свой пароль, использовать только уникальные и разнообразные комбинации, а также обязательно пользоваться двухфакторной идентификацией, чтобы любые манипуляции с аккаунтом совершались только с одобрения юзера.
В мае текущего года стало известно о массовой утечке персональной информации блогеров и знаменитостей из Instagram — всего в общей сложности от нее пострадали около 50 млн человек. В интернете была обнаружена база данных, содержащая в себе данные миллионов Instagram-звезд, пользующихся популярным фотохостингом, сообщил портал TechCrunch. Эта база, расположенная в публичном облаке Amazon Web Services, находилась в открытом доступе и была доступна всем желающим.
Как оказалось, в каждой из записей содержались персональные данные Instagram-блогеров и инфлюэнсеров, включая их биографию, фото профиля, количество фолловеров, геолокацию, а также электронную почту и номер мобильного телефона.
В июне руководство Instagram сообщило об упрощении процедуры восстановления аккаунта после хакерского взлома. Новая система задаст пользователю ряд вопросов, которые смогут подтвердить его личность, например, изначальный электронный адрес (если хакер его сменил) или номер телефона. Затем юзер получит шестизначный код для восстановления аккаунта.
Этот метод поможет вернуть профиль владельцу, даже если злоумышленники поменяют все контактные данные на новые, чтобы усложнить восстановление.
Известие было с энтузиазмом встречено пользователями Instagram, которые не раз жаловались на невозможность оперативного возвращения аккаунта, так как служба поддержки сервиса сильно перегружена подобными запросами.
