Лаксман Мутийя, исследователь в сфере кибербезопасности, нашёл способ взломать любой Instagram-аккаунт за десять минут. Способ он описал в своём блоге, а про уязвимость предупредил Facebook.
При смене пароля вам на номер телефона или почту приходит код, который вводится для подтверждения личности. Мутийя предположил, что если отправить миллион таких кодов, то верный вы точно найдёте, но это невозможно из-за ограничения количества запросов Instagram.
Одно большое но
Несмотря на ограничение количества отправляемых запросов, их можно отослать с тысячи IP-адресов. Мутийя так и сделал: он отправил тысячу запросов за десять минут – это срок действия на отправления кода пользователю и получил 200 000 кодов.
Получается, что для миллиона запросов потребуется пять тысяч IP-адресов и на подобный взлом потребуется около 150 долларов.
Специалист предупредил Facebook и получил за это вознаграждение на сумму 30 000 долларов. Уязвимость, кстати, уже исправили, так что можете не пытаться это повторить.
Сложно представить, что могло произойти, если бы данный баг оказался в открытом доступе раньше, сколько пользователей и предпринимателей могли пострадать. Поэтому сейчас советуем придумать пароль получше, включить дополнительную аутентификацию по номеру или почте и выкладывать фоточки дальше.
