Исследователь в сфере кибербезопасности Лаксман Мутийя (Laxman Muthiyah) нашел в социальной сети Инстаграм уязвимость, которая позволяет получить доступ к любому аккаунту в соцсети за десять минут. Мужчина воспользовался несовершенством системы восстановления пароля.
При замене пароля пользователю на привязанный номер или на электронную почту приходит код с целью удостовериться, что смену пароля производит именно он.
Эксперт предположил, что если отправить один миллион кодов, можно в итоге угадать один верный. Однако, когда хакер попробовал претворить свой план в жизнь, он столкнулся с тем, что в Инстаграме ограничено количество возможных запросов.
Мутийя смог преодолеть ограничения соцсети, воспользовавшись тысячей IP-адресов для отправки кодов. С помощью них он отправил более 200 тысяч запросов за десять минут – время, за которое истекает срок действия отправленного пользователю кода.
Хакер вычислил, что для взлома любого аккаунта в Инстаграме понадобится пять тысяч IP-адресов, с которых должен быть отправлен один миллион запросов. По его словам, ресурсы для такой атаки возможно приобрести за 150 долларов (около девяти тысяч рублей).
Специалист предупредил компанию Facebook, владеющую Инстаграмом, об этой уязвимости. Facebook прислал хакеру ответное письмо, в котором сообщил о том, что им удалось исправить уязвимость, а за находку дал Лаксману 30 тысяч долларов (примерно 1,9 миллиона рублей), сообщает «Лента.ру».
Источник новости: https://www.amur.info/news/2019/07/16/156918