Найден способ взломать любой аккаунт Instagram за 10 минут. Видео

Найден способ взломать любой аккаунт Instagram за 10 минут. Видео

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

Независимый специалист в сфере информационной безопасности из Индии Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в Instagram, которая позволяет взломать любую учетную запись сервиса, потратив на это порядка 10 минут и $150.

Ключ к успеху оказался в несовершенстве механизма восстановления паролей мобильной версии сервиса. Функция сброса пароля позволяет пользователю вернуть себе доступ к аккаунту в Instagram при помощи ввода секретного шестизначного цифрового кода, отправленного на привязанный к учетной записи номер мобильного телефона. Такой код действует в течение 10 минут.

Мутия рассматривал возможность перебора всех возможных комбинаций кода, но, как выяснилось, Instagram ограничивает частоту запросов: в первой итерации теста, проведенного хакером, 250 из 1 тыс. запросов достигли своей цели. Таким образом, взломать аккаунт простым перебором миллиона вариантов секретного кода, уложившись в 10 минут, оказалось невозможным.

Тем не менее, эксперт обратил свое внимание на отсутствие у Instagram механизма черного списка IP-адресов, то есть даже при превышении частоты обращений к сервису, интернет-адрес взломщика не подвергался блокировке. Воспользовавшись этим, хакер организовал одновременный перебор кодов со множества различных IP. Для успешного осуществления описанной атаки оказалось достаточно 1 тыс. адресов, однако, по его собственному признанию, в реальных условиях понадобилось бы около 5 тыс.

Как отметил специалист, при использовании облачных сервисов вроде Amazon Web Services или Google Cloud Platform данная, на первый взгляд непростая задача, решается достаточно легко и с минимальными затратами – примерно в $150.

Обнаружив данную уязвимость, Мутия немедленно сообщил о ней команде безопасности Facebook (Instagram, напомним, входит в экосистему Facebook), однако те не смогли самостоятельно воспроизвести действия хакера. Чтобы убедить представителей компании в осуществимости атаки, Мутия пришлось записать специальное видео, иллюстрирующее ее ход.

За информацию о проблеме, которая на сегодняшний день уже решена разработчиками, компания пообещала выплатить исследователю $30 тыс. в рамках программы вознаграждения за найденные уязвимости (bug bounty).

За последние несколько лет Facebook неоднократно оказывалась в центре различных скандалов из-за по меньшей мере небрежного отношения к своим обязанностям по защите данных собственных пользователей, что негативно отразилась на репутации компании и не позволило ей войти даже в первую сотню рейтинга самых уважаемых компаний Global Reptrak 100.

В апреле 2019 г. Facebook уличили в том, что при регистрации в социальной сети может запрашиваться пароль пользователя к его электронной почте, если почтовый сервис клиента вызывает у системы некие подозрения. В списке «подозрительных» оказался и популярный российский сервис «Яндекс.почта».

В марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете.

В марте 2019 г. утечка внутренних документов выявила, что Facebook шантажировала влиятельных политиков по всему миру с целью добиться в отдельных странах послабления законодательства в сфере защиты приватности пользователей.

В сентябре 2018 г. Facebook признала утечку данных более 50 млн владельцев учетных записей. Причиной взлома стала серьезная уязвимость в коде Facebook. Она была устранена в кратчайшие сроки, а о случившемся были уведомлены правоохранительные органы.

В ноябре 2018 г. стало известно о том, что соцсеть не смогла дать отпор киберпреступникам, в результате чего в руках хакеров оказались личные сведения о более чем 120 млн пользователей сети. Данные были выставлены на продажу по цене в 10 центов за один профиль.

В период с 2007 по 2014 гг. социальная сеть передавала британской аналитической компании Cambridge Analytica сведения о своих пользователях, в результате чего пострадали 87 млн человек.

Скрытый в WhatsApp троян заразил 25 млн смартфонов на Android

Microsoft готовит Windows 10, в которую можно проникнуть без пароля

Открытая всем ветрам база данных содержит 2 млрд пользовательских логов

Придуман способ взлома ПК с помощью лампочек Caps Lock, Num Lock и Scroll Lock. Видео

Создана сверхмощная «файловая бомба», способная сломать любой компьютер

В Сеть слиты полмиллиона логинов и паролей к магазину Ozon

Савва Шипов

Замминистра Минэкономразвития

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Савва Шипов

Замминистра Минэкономразвития

Сергей Пегасов

CIO Промсвязьбанка

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе