Instagram ima ozbiljan sigurnosni propust, napadači mogu da hakuju bilo koji Instagram nalog za samo 10 minuta

Društvene mreže, 16.07.2019, 02:30 AM

Instagram ima ozbiljan sigurnosni propust, napadači mogu da hakuju bilo koji Instagram nalog za samo 10 minuta

Instagram je ispravio sigurnosni propust koji je mogao omogućiti hakerima da kompromituju bilo koji Instagram nalog bez ikakve pomoći korisnika.

Detalji o ovoj kritičnoj ranjivosti Instagrama pojavili su se juče na internetu. Ona bi mogla omogućiti udaljenom napadaču da resetuje lozinku za bilo koji Instagram nalog i preuzme potpunu kontrolu nad njim.

Ranjivost je otkrio i Instagramu prijavio indijski lovac na nagrade za bagove Laksman Muthijah. Problem je u mehanizmu za oporavak lozinke koji je implementiran u mobilnu verziju Instagrama.

„Poništavanje lozinke“ ili „oporavak lozinke“ je funkcija koja omogućava korisnicima da ponovo dobiju pristup svom nalogu na web sajtu u slučaju da su zaboravili svoju lozinku.

Na Instagramu, korisnici moraju da potvrde šestocifreni tajni pristupni kod (koji ističe posle 10 minuta) koji se šalje na odgovarajući mobilni broj ili email nalog kako bi dokazali svoj identitet.

To znači da jedna od milion kombinacija može da otključa bilo koji Instagram nalog napadom brutalnom silom, ali to nije tako jednostavno kao što zvuči, jer Instagram ima ograničenje koje sprečava pokušaje takvih napada.

Međutim, Laksman je otkrio da se ovo ograničenje može zaobići slanjem zahteva sa različitih IP adresa i slanjem istovremenih zahteva za obradu više pokušaja istovremeno.

Laksman je objavio video u kome je pokazao kako bi izgledalo preotimanje Instagram naloga sa 200000 različitih kombinacija pristupnih kodova bez blokiranja.

U slučaju pravog napada, napadaču je potrebno 5000 IP adresa da hakuje nalog. Zvuči mnogo, ali to je stvarno lako ako koristite cloud usluge Amazona ili Googlea. Napad sa milion kodova bi koštao oko 150 dolara.

Laksman je takođe objavio dokazni koncept za ranjivost, koju je Instagram ispravio. Kompanija je nagradila Laksmana sa 30000 dolara.

Da bi zaštitili svoje naloge od različitih vrsta napada, kao i da bi smanjili šanse napadača da kompromituju njihove naloge kada direktno napadaju ranjive aplikacije, korisnicima se preporučuje da omoguće „dvofaktornu autentifikaciju“, što može sprečiti hakere da pristupe nalogu čak i ako im nekako uspe da ukradu lozinku.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook tuži registar domena zbog zloupotrebe naziva njegovih aplikacija za prevare i fišing

Facebook tuži registar domena zbog zloupotrebe naziva njegovih aplikacija za prevare i fišing

Facebook je ove nedelje podneo tužbu protiv kompanije Namecheap, jednog od najvećih registra domena na internetu. Kompanija tvrdi da je Namecheap od... Dalje

Facebook će dati SZO besplatne reklame, kompanija najavljuje da će uklanjati laži i teorije zavere o korona virusu

Facebook će dati SZO besplatne reklame, kompanija najavljuje da će uklanjati laži i teorije zavere o korona virusu

Facebook će besplatno prikazivati reklame Svetske zdravstvene organizacije koje su u vezi korona virusa, što je deo plana kompanije da zaustavi ši... Dalje

Facebook zabranio reklamiranje lekova za lečenje infekcije korona virusom

Facebook zabranio reklamiranje lekova za lečenje infekcije korona virusom

Facebook je potvrdio da je zabranio sadržaje u kojima se spominje korona virus, kao što su na primer oglasi koji obećavaju izlečenje ili sprečav... Dalje

Posle intervencije irske Komisije za zaštitu podataka, Facebook odložio pokretanje usluge za traženje partnera u Evropi

Posle intervencije irske Komisije za zaštitu podataka, Facebook odložio pokretanje usluge za traženje partnera u Evropi

Facebook je odložio pokretanje svoje usluge za traženje partnera Facebook Dating u Evropi, nakon što su početkom nedelje kompaniju posetili služb... Dalje

Hakovani Facebookovi Instagram i Twitter nalozi

Hakovani Facebookovi Instagram i Twitter nalozi

Facebook je potvrdio da su u petak popodne hakovani zvanični Twitter nalozi kompanije za Facebook i Messenger, kao i Facebookov nalog na Instagramu. ... Dalje