Tech hvg.hu 2019. július. 19. 20:03

Durva hiba volt az Instagramon: bármelyik fiókot fel lehetett törni

Olyan biztonsági résre bukkantak az Instagramban, amely lehetővé tette (volna) a hackereknek, hogy kivétel nélkül bármelyik fiókot feltörjék.

Sajnos még a fejlett védelmi mechanizmusuk ellenére sem védettek az olyan nagy platformok, mint a Facebook, a Google vagy az Amazon, könnyen érhetik ezeket – sikeres – hackertámadások. Nemrégiben a Facebook tulajdonában lévő fotómegosztó szolgáltatásról, az Instagramról derült ki, hogy olyan kritikus sebezhetőség található benne, amelyik lehetővé teszi bármelyik fiók feltörését távolról, felhasználói interakció nélkül – írja a The Hacker News. A támadó ezután simán átveheti az irányítást a fiók felett.

Az egyik indiai kutató (Laxman Muthiyah) által felfedezett hiba az Instagram mobil verziójának jelszó-helyreállítási mechanizmusában bújt meg. A jelszó-helyreállítás (vagy –visszaállítás) teszi lehetővé, hogy a felhasználó hozzáférjen a fiókjához, ha elfelejtette volna a jelszavát. Az Instagramon ilyenkor egy hatjegyű titkos jelszót kell megerősíteni (erre 10 perc áll rendelkezésre), amelyet a kapcsolódó telefonszámra vagy e-mail címre küldenek.

YouTube/Laxman Muthiyah

Brute force támadással elvileg ki lehet nyitni ilyen esetben az Instagram-fiókot, azonban ez nem olyan egyszerű, mint ahogy hangzik, ugyanis a szolgáltatás korlátozza a hozzáférési kísérletek számát. Az indiai kutató azonban rájött arra, hogy ez a korlátozás kicselezhető különböző IP-címek használatával, minél több ilyenről kell brute force kéréseket küldeni. A kutató egy videót is készített arról, hogyan történhet egy ilyen támadás.

Azt is elmondta, hogy egy valódi támadásnál 5000 IP-címet használva már simán fel lehet törni bármelyik fiókot. Ez pedig megvalósítható, ha felhőszolgáltatót (Google, Amazon) használ valaki. Mintegy 150 dollár a költsége egy komplett támadásnak egymillió kóddal. A szakembernek 30 ezer dolláros (kb. 8,7 millió forint) hibavadász-jutalom ütötte a markát a felfedezésért. A kritikus sebezhetőséget azóta orvosolták.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Hirdetés