اكتشف محلل أمني ثغرة أمنية في عملية استعادة حساب Instagram مما منحه حق الوصول إلى حساب اختباري.
Έاكتشف محلل أمني خطأً في عملية استرداد حساب Instagram قد يعرض العديد من الحسابات للخطر.
اكتشف المحلل Laxman Muthiyah الخطأ أثناء التحقيق في كيفية السماح لك التطبيق باستعادة الوصول إلى حسابك بعد أن نسيت كلمة المرور. للمصادقة ، يرسل Instagram رقمًا عشوائيًا مكونًا من ستة أرقام عبر الرسائل القصيرة إلى هاتف المستخدم ، مما يتيح الوصول إلى الحساب.
وتساءل الباحث عما إذا كان يمكن استخدام هذه التقنية "القوة الغاشمة"لتجاوز النظام. في هذه الطريقة ، يتم إدخال آلاف المجموعات العشوائية حتى يتم العثور على التوليفات الصحيحة. في هذه الحالة ، نجحت الحيلة ، ولكن هناك ظروفًا محددة تجعل العملية برمتها معقدة للغاية.
وبشكل أكثر تحديدًا ، يفرض Instagram قيودًا على إدخال هذه الرموز. لذلك لديك حد أقصى قدره 250 محاولة لكل عنوان IP يتم إجراؤها خلال الإطار الزمني العشر دقائق.
لتخمين رمز مكون من ستة أرقام ، عليك تجربة حوالي مليون مجموعة مختلفة. هذا الرقم كافٍ للحفاظ على النظام في مأمن من مستخدم بسيط. ومع ذلك ، وجد المطية طريقة لأتمتة العملية. تمكنت كتابة برنامج ما من استيراد كميات ضخمة من التوليفات العشوائية من قائمة عناوين IP المختلفة.
قام مثية بتحميل مقطع فيديو للهجوم يظهر فيه إرسال 200.000 مجموعة مختلفة في محاولة لكسر حساب اختباري. "في هجوم حقيقي ، سيحتاج المهاجم إلى حوالي 5.000 عنوان IP لكسر الحساب. قد يبدو عددًا كبيرًا ولكنه في الواقع ليس صعبًا. إذا كنت تستخدم خدمة سحابية من Amazon أو Google ، فستكلفك حوالي 150 دولارًا للقيام بهجوم كامل بمليون كلمة مرور ". قال في ذات الصلة المدونة .
الخبر السار هو أن Instagram قد أصلح المشكلة. أخبر Mythiyah PCMag أن التطبيق يحظر الآن عدد كلمات المرور التي يمكن للمستخدم إدخالها بغض النظر عن عنوان IP الخاص به.
في رسالة بريد إلكتروني ، أخبر Instagram PCMag: "لقد أصلحنا المشكلة ولم نعثر على أي استغلال. نحن ممتنون للمحلل الذي ساعد في تحديد المشكلة ". يمتلك Facebook ، الذي يمتلك Instagram ، برنامجًا يكافئ العثور على Bugs من خلال Bugcrowd ، الذي تبرع بمبلغ 30.000 ألف دولار لموثية لاكتشافه.
[the_ad_group id = ”966 ″]