นักวิเคราะห์ด้านความปลอดภัยได้ค้นพบช่องโหว่ใน ขั้นตอนการกู้คืนบัญชี Instagram ซึ่งทำให้เขาสามารถเข้าถึงบัญชีทดสอบได้
Έนักวิเคราะห์ด้านความปลอดภัยพบจุดบกพร่องในกระบวนการกู้คืนบัญชี Instagram ที่อาจทำให้หลายบัญชีตกอยู่ในความเสี่ยง
นักวิเคราะห์ Laxman Muthiyah ค้นพบข้อผิดพลาดขณะตรวจสอบว่าแอปพลิเคชันอนุญาตให้คุณเข้าถึงบัญชีของคุณอีกครั้งได้อย่างไรหลังจากที่คุณลืมรหัสผ่าน สำหรับการตรวจสอบสิทธิ์ Instagram จะส่งหมายเลขหกหลักแบบสุ่มผ่าน SMS ไปยังโทรศัพท์ของผู้ใช้ ซึ่งทำให้สามารถเข้าถึงบัญชีได้
นักวิจัยสงสัยว่าใครสามารถใช้เทคนิคนี้ได้ "กำลังดุร้าย”การเลี่ยงผ่านระบบ ในวิธีนี้ จะป้อนชุดค่าผสมแบบสุ่มหลายพันชุดจนกว่าจะพบชุดค่าผสมที่ถูกต้อง ในกรณีนี้ เคล็ดลับใช้ได้ผล แต่มีบางสถานการณ์ที่ทำให้กระบวนการทั้งหมดค่อนข้างซับซ้อน
โดยเฉพาะอย่างยิ่ง Instagram มีข้อ จำกัด ในการป้อนรหัสเหล่านี้ ดังนั้นคุณจึงมีขีดจำกัด 250 ครั้งต่อที่อยู่ IP ที่จะทำภายในกรอบเวลาสิบนาที
ในการเดารหัสหกหลัก คุณต้องลองชุดค่าผสมที่แตกต่างกันนับล้านชุด ตัวเลขนี้เพียงพอที่จะทำให้ระบบปลอดภัยจากผู้ใช้ทั่วไป อย่างไรก็ตาม Mutiyah พบวิธีที่จะทำให้กระบวนการเป็นไปโดยอัตโนมัติ การเขียนโปรแกรมสามารถนำเข้าชุดค่าผสมแบบสุ่มจำนวนมากจากรายการที่อยู่ IP ต่างๆ
Muthiyah อัปโหลดวิดีโอการโจมตีที่แสดงว่าเขาส่งชุดค่าผสมที่แตกต่างกัน 200.000 ชุดเพื่อพยายามทำลายบัญชีทดสอบ “ในการโจมตีจริง ผู้โจมตีจะต้องใช้ IP ประมาณ 5.000 IP เพื่อทำลายบัญชี ฟังดูอาจจะดูเยอะ แต่ความจริงแล้วไม่ยาก หากคุณใช้บริการคลาวด์จาก Amazon หรือ Google คุณจะต้องเสียค่าใช้จ่ายประมาณ 150 ดอลลาร์สหรัฐฯ ในการโจมตีรหัสผ่านหนึ่งล้านครั้ง " เขากล่าวว่าในที่เกี่ยวข้อง บล็อก.
ข่าวดีก็คือ Instagram ได้แก้ไขปัญหาแล้ว Mythiyah บอก PCMag ว่าขณะนี้แอปพลิเคชันบล็อกจำนวนรหัสผ่านที่ผู้ใช้สามารถป้อนได้โดยไม่คำนึงถึงที่อยู่ IP ของพวกเขา
ในอีเมล Instagram บอก PCMag: "เราได้แก้ไขปัญหาแล้วและไม่พบช่องโหว่ใด ๆ เรารู้สึกขอบคุณนักวิเคราะห์ที่ช่วยระบุปัญหา " Facebook ซึ่งเป็นเจ้าของ Instagram มีโปรแกรมที่ให้รางวัลในการค้นหา Bugs ผ่าน Bugcrowd ซึ่งบริจาคเงิน 30.000 ดอลลาร์ให้กับ Muthiyah สำหรับการค้นพบของเขา
[the_ad_group id =” 966″]