Спеціаліст попередив компанію Facebook, що володіє Instagram, про знайдену ним уразливості. Facebook надіслав хакеру відповідь лист.
Дослідник у сфері кібербезпеки Лаксман Мутийя знайшов в Instagram уразливість, яка дозволила йому отримати доступ до будь-якого запису в соцмережі за десять хвилин. Про це він написав у своєму блозі Zero Hack.
Мутийя скористався недосконалістю системи відновлення пароля. При його зміні користувачеві на смартфон або на електронну пошту зазвичай відправляється цифровий код з метою упевнитися, що зміну пароля виробляє саме він.
Експерт припустив, що якщо відправити один мільйон кодів, можна в підсумку вгадати правильний. Однак коли хакер спробував втілити свій план в життя, він зіткнувся з тим, що Instagram обмежує кількість можливих запитів.
Мутийя зміг подолати обмеження соцмережі, скориставшись тисячею IP-адрес для відправки кодів. З допомогою них він відправив більше 200 тисяч запитів за десять хвилин — час, за яке закінчується термін дії відправленого користувачеві коду.
Хакер обчислив, що для злому будь-якого запису в Instagram знадобиться п’ять тисяч IP-адрес, з яких повинен бути відправлений один мільйон запитів. За його словами, ресурси для такої атаки можливо придбати за порівняно невелику суму — 150 доларів.
Спеціаліст попередив компанію Facebook, що володіє Instagram, про знайдену ним уразливості. Facebook надіслав хакеру відповідь лист, в якому повідомив про те, що виправив вразливість і нагородив спеціаліста сумою в розмірі 30 тисяч доларів.
Наука і технології