Фото: pixabay.com

Независимый исследователь в области кибербезопасности Лаксман Мутийя (Laxman Muthiyah) обнаружил уязвимость в системе восстановления пароля в Instagram. За проделанную работу эксперт получил от Facebook, владеющей социальной сетью, награду в размере $30 тыс.


По словам Мутийи, у Instagram достаточно защищённый механизм сброса пароля, основанный на ссылках, из-за чего специалист переключился на мобильный процесс восстановления. Когда пользователь вводит свой номер телефона, ему на устройство направляется шестизначный код, который он должен ввести, чтобы изменить пароль.

Специалист решил попробовать отправить миллион кодов, чтобы угадать комбинацию, но столкнулся с тем, что системы Instagram проверяют и корректно ограничивают запросы. Мутийя мог отправлять их непрерывно, не блокируясь, но их количество за короткий промежуток времени строго определено.

«Белый» хакер использовал тысячу IP-адресов, и ему удалось отправить более 200 тысяч запросов (20% от одного миллиона) в течение десяти минут, чтобы обойти ограничение. Как отметил исследователь, во время реальной атаки злоумышленнику понадобится 5 тысяч IP-адресов для взлома учётной записи. Вся операция может обойтись примерно в $150.

Ранее News.ru рассказал, что злоумышленники могут использовать вредоносное программное обеспечение для получения доступа к медиафайлам мессенджеров WhatsApp и Telegram.