Ein Sicherheitsanalyst hat eine Schwachstelle in . entdeckt Wiederherstellungsprozess des Instagram-Kontos die ihm Zugang zu einem Testkonto verschaffte.
ΈEin Sicherheitsanalyst hat einen Fehler im Wiederherstellungsprozess von Instagram-Konten gefunden, der möglicherweise viele Konten gefährdet hat.
Analyst Laxman Muthiyah hat den Fehler entdeckt, als er untersuchte, wie die Anwendung Ihnen den Zugriff auf Ihr Konto ermöglicht, nachdem Sie das Passwort vergessen haben. Zur Authentifizierung sendet Instagram eine zufällige sechsstellige Zahl per SMS an das Telefon des Benutzers, die den Zugriff auf das Konto ermöglicht.
Der Forscher fragte sich, ob man die Technik anwenden könnte "Brute-Force-„Um das System zu umgehen. Bei dieser Methode werden Tausende von Zufallskombinationen eingegeben, bis die richtige gefunden ist. In diesem Fall hat der Trick funktioniert, aber es gibt bestimmte Bedingungen, die den gesamten Prozess ziemlich kompliziert machen.
Genauer gesagt hat Instagram Einschränkungen bei der Eingabe dieser Codes. Sie haben also ein Limit von 250 Versuchen pro IP-Adresse innerhalb des Zeitrahmens von zehn Minuten.
Um einen sechsstelligen Code zu erraten, müssen Sie etwa eine Million verschiedene Kombinationen ausprobieren. Diese Nummer reicht aus, um das System vor einem einfachen Benutzer zu schützen. Mutiyah hat jedoch einen Weg gefunden, den Prozess zu automatisieren. Das Schreiben eines Programms war in der Lage, riesige Mengen zufälliger Kombinationen aus einer Liste verschiedener IP-Adressen zu importieren.
Muthiyah hat ein Video des Angriffs hochgeladen, das zeigt, wie er 200.000 verschiedene Kombinationen sendet, um einen Testaccount zu knacken. „Bei einem echten Angriff benötigt der Angreifer etwa 5.000 IPs, um das Konto zu knacken. Es mag wie eine große Zahl klingen, aber in Wirklichkeit ist es nicht schwierig. Wenn Sie einen Cloud-Dienst von Amazon oder Google verwenden, kostet es Sie etwa 150 US-Dollar, einen vollständigen Angriff von einer Million Passwörtern durchzuführen. Er sagte in einem verwandten Blog.
Die gute Nachricht ist, dass Instagram das Problem behoben hat. Mythiyah sagte gegenüber PCMag, dass die Anwendung jetzt die Anzahl der Passwörter blockiert, die ein Benutzer unabhängig von seiner IP-Adresse eingeben kann.
In einer E-Mail teilte Instagram PCMag mit: „Wir haben das Problem behoben und keinen Exploit gefunden. Wir sind dem Analysten dankbar, der geholfen hat, das Problem zu identifizieren.“ Facebook, dem Instagram gehört, hat ein Programm, das das Auffinden von Bugs durch Bugcrowd belohnt, das Muthiyah 30.000 US-Dollar für seine Entdeckung gespendet hat.
[the_ad_group id = ”966 ″]ΜVergessen Sie nicht, unserem Forum beizutreten (zu registrieren), was ganz einfach über den folgenden Button möglich ist…
(Wenn Sie bereits ein Konto in unserem Forum haben, müssen Sie dem Registrierungslink nicht folgen)
Tritt unserer Gemeinschaft bei
Folgen Sie uns auf Telegram!
