Уязвимость в Instagram позволяла захватить любой аккаунт за считанные минуты

Независимый исследователь из Индии Лаксман Мутиях (Laxman Muthiyah) заработал 30 000 долларов, обнаружив в Instagram опасную уязвимость, связанную с восстановлением паролей в мобильной версии сервиса.

Вот время процедуры сброса пароля от Instagram пользователи должны получить и подтвердить секретный шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Конечно, частота попыток ввода этих кодов ограничена, и тем самым Instagram защищаетсвоих пользователей от брутфорса.

Но исследователь обнаружил, что защитные ограничения сервиса можно обойти, посылая запросы с разных IP-адресов и провоцируя возникновение состояния гонки (отправляя параллельные запросы для одновременной обработки нескольких попыток ввода).

Как видно в PoC-видео ниже, специалист без труда перебирает 200 000 различных комбинаций кодов (примерно 20% от общего числа) и не вызывает подозрений у Instagram, избегая блокировки.

«Злоумышленнику потребуется 5000 IP-адресов для взлома учетной записи. Звучит серьезно, но на самом деле это нетрудно, если воспользоваться услугами провайдеров облачных услуг, таких как Amazon или Google. Для одной атаки потребуется около 150 долларов, и этого хватит на перебор миллиона кодов», — пишет Мутиях.

Так как разработчики Instagram уже исправили найденный экспертом баг, в своем блоге Мутиях опубликовал не только видео с демонстрацией атаки, но и PoC-эксплоит.

Как уже было сказано выше, данная уязвимость принесла специалисту 30 000 долларов по программе bug bounty. И это не первый случай, когда индийский исследователь находит серьезные Баги. К примеру, в 2015 году он обнаружил проблему, позволяющую взламывать страницы групп в Facebook.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."