Facebook заплатила $30 000 за обнаружение уязвимости в Instagram

Порой люди слишком полагаются на соцсети, считая их максимально безопасными. Однако, даже в самой крепкой стене есть слабое место. Так, специалист по кибербезопасности Лаксман Мутийя смог найти уязвимость в соцсети Instagram. По словам Мутийя, любой пользователь платформы мог получить доступ к чужому аккаунту буквально за десять минут. Об этом сообщает Информатор Tech, ссылаясь на The Zero Hack. По словам баг-хантера из Индии, уязвимость крылась в механизме восстановления/смены пароля, который предполагает ввод номера телефона при заходе в соцсеть с мобильного устройства. В ответ пользователю высылается 6-значный код для подтверждения правомочности запроса. Время, отводимое на ввод одноразового пароля, ограничено, однако эту защиту от брутфорса, как выяснилось, можно обойти. В ходе тестирования i.instagram.com исследователь обнаружил, что лимит на ввод секретного кода работает исправно, но черные списки IP-адресов при этом не применяются. В итоге злоумышленник может попытаться подобрать нужную комбинацию, одновременно посылая запросы из разных источников. Правда, срок действия одноразового пароля истекает через 10 минут, поэтому количество подставных IP должно быть значительным. Пробная атака показала, что при использовании 1 000 источников запроса вероятность успешного взлома составляет 20%. Если число атакующих IP увеличить до 5 000, успех взломщику гарантирован. Мутийя подчеркнул, что в настоящее время подобный брутфорс может обойтись всего в 150 долларов, если использовать облачный сервис Google или Amazon. Специалист предупредил компанию Facebook, владеющую Instagram, о найденной им уязвимости. Facebook прислал хакеру ответное письмо, в котором сообщил о том, что исправил уязвимость и наградил специалиста суммой в размере $30 000. Раннее мы сообщали о том, что Instagram вводит ИИ, блокирующий гневные комментарии. Instagram говорит, что во время тестов он побуждал «некоторых» людей задуматься и удалить то, что они написали. Также писали, что названо лучшее время для постинга в Facebook, Instagram и других соцсетях в 2019 году. Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.