Привет,дружище :) в Американских СМИ появилась новость о том, что одному хакеру удалось буквально за 10 – минут взломать аккаунт инстаграм в свою очередь Facebook выплатил ему 30 тысяч долларов вознаграждения. [Оригинал статьи]
Давайте по порядку: По словам: Лаксмана
- Исследователь в сфере информационной безопасности Лаксман Мутийя рассказал в своем блоге, как ему удалось взломать Instagram за 10 минут. Несмотря на то, что компания Facebook, владеющий фотохостингом, постоянно пытается улучшить безопасность и не допустить вмешательства извне,Лаксман доказывает, что над этой проблемой можно работать практически бесконечно.
Так Лаксман обнаружил уязвимость в системе восстановления пароля к своему Instagram-аккаунту. Дело в том, что когда пользователь вводит свой номер телефона для возобновления доступа к профилю, Instagram отправляет ему шестизначный цифровой код, который необходимо ввести для подтверждения личности. Лаксман Мутийя решил, что если он сможет попробовать миллион разных кодов на этом этапе, то один совершенно точно подойдет, что приведет к смене пароля у любого Instagram-аккаунта.
Тем не менее, Лаксман справедливо решил, что у фотосервиса наверняка будет установлена защита против такой атаки. И действительно, Instagram предусматривает такую защиту, он ограничивал количество запросов на смену, которые может отправить пользователь с одного айпи адреса.
Путем многочисленных расчетов Лаксман установил, что для успешного взлома ему понадобится около 5 тыс. IP-адресов, каждый из которых отправит 200 тыс. запросов на восстановление. По словам Лаксмана , это не так сложно осуществить, если воспользоваться облачным сервисом Google или Amazon. При этом вся атака обойдется злоумышленнику всего в $150.
Свои изыскания Лаксман Мутийя направил администрации Facebook, которая убедилась в небезопасности существующей системы. Вследствие чего уязвимость в Instagram была устранена, а сам Лаксман получил $30 тыс. долларов вознаграждения по – программе“bug bounty” — компенсации за выявленные недостатки.