安全分析师发现了一个漏洞 Instagram 帐户恢复过程 这使他可以访问测试帐户。
Έ一位安全分析师在 Instagram 帐户恢复过程中发现了一个错误,该错误可能使许多帐户处于危险之中。
分析师 Laxman Muthiyah 在调查该应用程序如何让您在忘记密码后重新获得对帐户的访问权限时发现了该错误。 为了进行身份验证,Instagram 通过 SMS 向用户的手机发送一个随机的六位数号码,从而可以访问该帐户。
研究人员想知道是否可以使用该技术“蛮力”绕过系统。 在这种方法中,输入数千个随机组合,直到找到正确的组合。 在这种情况下,这个技巧奏效了,但有一些特定的情况使整个过程变得相当复杂。
更具体地说,Instagram 对输入这些代码有限制。 因此,在十分钟的时间范围内,每个 IP 地址的尝试次数限制为 250 次。
要猜出一个六位数的代码,您必须尝试大约一百万种不同的组合。 这个数字足以保护系统免受简单用户的攻击。 然而,Mutiyah 找到了一种自动化流程的方法。 编写程序能够从不同 IP 地址列表中导入大量随机组合。
Muthiyah 上传了一段攻击视频,显示他发送了 200.000 种不同的组合,试图破解一个测试账户。 “在真正的攻击中,攻击者需要大约 5.000 个 IP 才能破解帐户。 这听起来像是一个很大的数字,但实际上并不难。 如果你使用亚马逊或谷歌的云服务,那么完成一百万个密码的完整攻击将花费你大约 150 美元。” 他在相关的文章中说 博客.
好消息是 Instagram 已经解决了这个问题。 Mythiyah 告诉 PCMag,该应用程序现在阻止用户可以输入的密码数量,无论其 IP 地址如何。
Instagram 在一封电子邮件中告诉 PCMag:“我们已经解决了这个问题,没有发现任何漏洞。 我们感谢帮助确定问题的分析师。” 拥有 Instagram 的 Facebook 有一个奖励通过 Bugcrowd 发现错误的计划,该计划为 Muthiyah 的发现捐赠了 30.000 美元。
[the_ad_group id =“ 966”]