Лаксман Мутия, исследователь безопасности из Ченнаи, обнаружил новую уязвимость захвата аккаунта в Instagram тем самым выиграв $ 10000 (приблизительно 7,2 тыс. рупий) в рамках FacebookВ программе вознаграждения за ошибки. Мутия обнаружил подобную уязвимость еще в июле, за что ему было присуждено 30 000 долларов США (примерно 21,6 лакха)
Тем не мение, Facebook сейчас исправил уязвимость. Muthiyah заметил, что тот же идентификатор устройства – уникальный идентификатор, используемый Instagram сервер для проверки кодов сброса пароля – может использоваться для запроса нескольких паролей разных пользователей.
Facebook сказал в письме к Muthiyah- «Вы обнаружили недостаточную защиту на конечной точке восстановления, что позволило злоумышленнику создать множество допустимых одноразовых номеров до десяти попыток восстановления».
В прошлом месяце Muthiyah обнаружил, что этот недостаток может позволить другим пользователям, кроме реального пользователя, принять учетную запись. Это было сделано путем запроса сброса пароля, запроса кода восстановления или быстрого опробования возможных кодов восстановления для входа в учетную запись.
Muthiyah сказал в сообщении в блоге, «Facebook а также Instagram Служба безопасности устранила проблему и наградила меня 10000 долларов в рамках их программы вознаграждений. Я сообщил об уязвимости Facebook Служба безопасности, и они не смогли воспроизвести его изначально из-за отсутствия информации в моем отчете. После нескольких писем по электронной почте и подтверждения концепции видео, я могу убедить их, что атака осуществима », – написал Мутия в своем блоге».
Instagram не позволяет вам делать это бесконечные времена. Он заблокирует вас, когда неправильный код будет введен более 200 раз. Кроме того, тот, кто делает это, имеет всего 10 минут, чтобы ввести код сброса. Недостаток приходит сюда. Если кто-то запросил несколько сбросов одновременно и попробовал случайные числа – все подряд, человек, скорее всего, добьется успеха. К сожалению, это было разрешено Facebookприложение. Это именно то, что указал Лаксман.
Это довольно серьезная проблема, особенно когда в центре внимания находится конфиденциальность. Любой мог взломать ваш Instagram аккаунт, если эта опция осталась незамеченной.
ПОСЛЕДНЕЕ
Add comment