Любой аккаунт в Instagram можно было взломать за $150

Белый" хакер Лэксман Мутийя (Laxman Muthiyah) обнаружил в Instagram уязвимость, которая позволяла при помощи нескольких строчек кода и полутора сотен долларов за 10 минут получить доступ к любому аккаунту. Поделившись этой информацией со службой безопасности Facebook (владеет Instagram), он получил награду в 30 000 долларов, передает Day.Az со ссылкой на Вести.

Решив заняться поиском уязвимостей в популярном приложении-соцсети, Мутийя предположил, что легче всего попытаться завладеть аккаунтом через механизм восстановления пароля. В мобильной версии Instagram оно осуществляется через шестизначный код, который присылается по запросу на почту или номер телефона. Соответственно, перебрав миллион вариантов, можно получить доступ к любому аккаунту.

Разработчики Instagram предусмотрели защиту от такого перебора, но она оказалась недостаточно надёжной. Хакер попробовал отправить 1000 запросов на восстановление пароля с разными кодами, но приняты были только 250 из них. После этого он попробовал добавить в свою "отмычку" ротацию IP-адресов, и обман удался: когда запросы приходили с разных адресов, ограничение на перебор кодов переставало работать.

Код восстановления пароля, присылаемый Instagram, действует 10 минут. Хакеру удалось, задействовав 1000 IP-адресов, отправить в этот промежуток 200 000 запросов на доступ без ограничений, перебрав пятую часть возможных вариантов. Если бы он потратился и приобрёл у любого облачного провайдера пять тысяч виртуальных машин с уникальными IP, "отмычка" стала бы полностью рабочей. По словам Мутийи, затраты на это составили бы не более 150 долларов.