В начале текущего лета независимый исследователь из Индии Лаксман Мутиях (Laxman Muthiyah) рассказал о том, как заработал 30 000 долларов по программе bug bounty, обнаружив опасную уязвимость в механизме сброса паролей в Instagram. Хотя разработчики Facebook с тех пор усилили защиту, эксперт нашел еще один способ скомпрометировать систему восстановления паролей.

Проблема опять была связана с тем, что во время процедуры сброса пароля от Instagram пользователи должны получить шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Разумеет, разработчики Instagram озаботились защитой от брутфорса этих кодов. Однако Мутиях обнаружил, что во время запроса на сброс пароля Instagram генерирует идентификатор для каждого устройства, и тот включается в сам запрос. И этот идентификатор используется для проверки действительности шестизначного кода.

Как оказалось, один и тот же ID можно использовать для запроса кодов для нескольких учетных записей. Это означает, что создав достаточное количество запросов, злоумышленник в конечном итоге может получить верные шестизначные коды для сброса пароля.

«Существует миллион вероятностей для шестизначного кода (от 000001 до 999999). Запрашивая пароли для нескольких пользователей, мы увеличиваем вероятность взлома аккаунтов. К примеру, если запросить код подтверждения для 100 000 пользователей, используя один и тот же ID, можно добиться 10-процентной успешности, поскольку для одного идентификатора будет выдано 100 000 кодов», — объясняет исследователь и отмечает, что запросив миллион кодов, можно с легкостью взломать миллион аккаунтов, весь тогда успешность атаки составит 100%, главное уложиться в отведенные 10 минут.

Разработчики Facebook уже подтвердили правоту изысканий исследователя и наградили его 10 000 долларов США в рамках программы bug bounty. Обнаруженная экспертом проблема в настоящее время уже устранена.

Оставить мнение