Brutális hiba az Instagramon – bármelyik fiókot fel lehetett törni
Olyan biztonsági résre bukkantak az Instagramban, amely lehetővé tette (volna) a hackereknek, hogy kivétel nélkül bármelyik fiókot feltörjék – írja cikkében a hvg.
Sajnos még a fejlett védelmi mechanizmusuk ellenére sem védettek az olyan nagy platformok, mint a Facebook, a Google vagy az Amazon, könnyen érhetik ezeket – sikeres – hackertámadások. Nemrégiben a Facebook tulajdonában lévő fotómegosztó szolgáltatásról, az Instagramról derült ki, hogy olyan kritikus sebezhetőség található benne, amelyik lehetővé teszi bármelyik fiók feltörését távolról, felhasználói interakció nélkül – írja a The Hacker News. A támadó ezután simán átveheti az irányítást a fiók felett.
Az egyik indiai kutató (Laxman Muthiyah) által felfedezett hiba az Instagram mobil verziójának jelszó-helyreállítási mechanizmusában bújt meg. A jelszó-helyreállítás (vagy –visszaállítás) teszi lehetővé, hogy a felhasználó hozzáférjen a fiókjához, ha elfelejtette volna a jelszavát. Az Instagramon ilyenkor egy hatjegyű titkos jelszót kell megerősíteni (erre 10 perc áll rendelkezésre), amelyet a kapcsolódó telefonszámra vagy e-mail címre küldenek.
Brute force támadással elvileg ki lehet nyitni ilyen esetben az Instagram-fiókot, azonban ez nem olyan egyszerű, mint ahogy hangzik, ugyanis a szolgáltatás korlátozza a hozzáférési kísérletek számát. Az indiai kutató azonban rájött arra, hogy ez a korlátozás kicselezhető különböző IP-címek használatával, minél több ilyenről kell brute force kéréseket küldeni. A kutató egy videót is készített arról, hogyan történhet egy ilyen támadás.
Azt is elmondta, hogy egy valódi támadásnál 5000 IP-címet használva már simán fel lehet törni bármelyik fiókot. Ez pedig megvalósítható, ha felhőszolgáltatót (Google, Amazon) használ valaki. Mintegy 150 dollár a költsége egy komplett támadásnak egymillió kóddal. A szakembernek 30 ezer dolláros (kb. 8,7 millió forint) hibavadász-jutalom ütötte a markát a felfedezésért.
A kritikus sebezhetőséget azóta orvosolták.