Профессиональный хакер Лаксман Мутия нашел довольно простой способ взлома любой страницы пользователей в соцсети Instagram.
Об этом пишет Forbes.
В частности, Мутия обнаружил ошибку в мобильной версии системы сброса пароля Instagram. Когда пользователь хочет сбросить свой пароль, Instagram пытается подтвердить его личность, отправив 6-значный код на привязанный номер телефона.
“Шестизначный код – это детская игра для хакера, обладающего любым вычислительным потенциалом, поэтому в Instagram есть система, способная обнаруживать атаки методом “грубой силы”, – отметил Мутия.
По его данным, из 1000 попыток около 75 % были заблокированы.
Однако хакер нашел способ обойти ограничение путем отправки брутфорс-запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа. В частности, он “засыпал” Instagram 200 000 кодов с 1000 разных IP-адресов. Мутия отмечает, что с помощью облачных инструментов эта задача очень проста.
По его оценкам, взлом страницы в соцсети стоил бы около $150.
Впоследствии в Instagram заявили, что исправили эту ошибку. В итоге специалист получил $30 тысяч от соцсети в качестве награды за нахождение уязвимости.
- Ранее сообщалось, что социальная сеть Instagram тестирует новые более простые способы восстановления взломанных аккаунтов.