Белые шляпы
Во время процедуры сброса пароля от Instagram пользователи должны получить и подтвердить секретный шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Конечно, частота попыток ввода этих кодов ограничена, и тем самым Instagram защищает своих пользователей от брутфорса.
Но исследователь обнаружил, что защитные ограничения сервиса можно обойти, посылая запросы с разных IP-адресов и провоцируя возникновение состояния гонки (отправляя параллельные запросы для одновременной обработки нескольких попыток ввода).
Как видно в видео ниже, специалист без труда перебирает 200 000 различных комбинаций кодов (примерно 20% от общего числа) и не вызывает подозрений у Instagram, избегая блокировки.
Как уже было сказано, данная уязвимость принесла специалисту 30 000 долларов по программе bug bounty. И это не первый случай, когда индийский исследователь находит серьезные Баги. К примеру, в 2015 году он обнаружил проблему, позволяющую взламывать страницы групп в Facebook
Во время процедуры сброса пароля от Instagram пользователи должны получить и подтвердить секретный шестизначный секретный код (срок действия которого равен лишь 10 минутам). Этот код приходит на соответствующий номер мобильного телефона или адрес электронной почты. Конечно, частота попыток ввода этих кодов ограничена, и тем самым Instagram защищает своих пользователей от брутфорса.
Но исследователь обнаружил, что защитные ограничения сервиса можно обойти, посылая запросы с разных IP-адресов и провоцируя возникновение состояния гонки (отправляя параллельные запросы для одновременной обработки нескольких попыток ввода).
Как видно в видео ниже, специалист без труда перебирает 200 000 различных комбинаций кодов (примерно 20% от общего числа) и не вызывает подозрений у Instagram, избегая блокировки.
«Злоумышленнику потребуется 5000 IP-адресов для взлома учетной записи. Звучит серьезно, но на самом деле это нетрудно, если воспользоваться услугами провайдеров облачных услуг, таких как Amazon или Google. Для одной атаки потребуется около 150 долларов, и этого хватит на перебор миллиона кодов», — пишет Мутиях.
Так как разработчики Instagram уже исправили найденный экспертом баг, в своем блоге Мутиях опубликовал не только видео с демонстрацией атаки, но и PoC-эксплоит.Как уже было сказано, данная уязвимость принесла специалисту 30 000 долларов по программе bug bounty. И это не первый случай, когда индийский исследователь находит серьезные Баги. К примеру, в 2015 году он обнаружил проблему, позволяющую взламывать страницы групп в Facebook
