Исследователь в сфере кибербезопасности Лаксман Мутийя нашел в Instagram уязвимость, которая позволила ему получить доступ к любому аккаунту в соцсети за 10 минут. Об этом он написал в своем блоге Zero Hack.
Уязвимость находилась в системе восстановления пароля. При его смене пользователь получает цифровой код на смартфон или электронную почту – это позволяет убедиться, что смену пароля производит именно владелец учетной записи.
Хакер предположил, что сможет угадать верный код, если отправит один миллион кодов. Пытаясь сделать это, он выяснил, что Instagram ограничивает количество возможных запросов только с одного IP-адреса.
В связи с этим программист решил использовать тысячи IP-адресов для отправки кодов. За десять минут, которые отводятся сервисом на операцию, можно успеть выслать более 200 тысяч запросов с одной тысячи IP-адресов. Зачастую этого оказывается достаточно для взлома.
Мутийя уверяет, что для подбора кода вообще к любому аккаунту в Instagram потребуется пять тысяч IP-адресов и один миллион запросов. Ресурсы для такой атаки можно купить за 150 долларов (примерно 9 тысяч рублей), сообщил он.
Специалист решил не пользоваться найденным способом взлома в мошеннических целях. Он предупредил Facebook (владеет Instagram) об уязвимости. В компании быстро устранили брешь. Хакеру заплатили 30 тысяч долларов (примерно 1,9 миллиона рублей).