Отзыв о сайте

Instagram взломали за 10 минут

Эксперт, который взломал соцсеть Инстаграм, получил в награду 30000 долларов за найденную уязвимость.

Лаксман Мутийя работает в сфере кибербезопасности, поэтому сравнительно недавно обнаружил в популярной социальной сети Instagram серьезную уязвимость, за счет которой можно получить доступ к любому аккаунту в течении десяти минут.

В своем блоге исследователь рассказал, как ему удалось это сделать. Все дело в системе восстановления пароля, которая имеет ряд недоработок.

При смене пароля пользователю на электронную почту или номер телефона отправляется цифровой код, который подтверждает личность владельца. Мутийя предположил, что если отправить около 1000000 кодов, то можно отгадать верный. Воплощению этой идеи мешало лишь одно обстоятельство: социальная сеть ограничивает количество возможных запросов с одного адреса.

Обойти ограничение получилось при помощи 1000 IP-адресов, с которых отправлялись цифровые коды. С их помощью исследователь смог отправить более 200 тыс. запросов в течении десяти минут, а это значит, что при наличии 5000 IP-адресов можно отправить миллион запросов и взломать нужный аккаунт. При этом стоит понимать, что приобрести такое количество адресов можно относительно недорого – всего лишь за 150 долларов.

Лаксман Мутийя написал письмо с предупреждением о найденной уязвимости в Facebook (напоминаем, что компания владеет Instagram) и получил ответное письмо. Разработчики оперативно исправили уязвимости и в качестве награды отправили специалисту 30000 долларов.

Обсуждение
Azor_Ahai написал(а):
А вдруг Мутийя сделал рекламный пост? Зачем это надо? Чтобы другие программисты попытались протестировать их систему безопасности. Так сказать, бесплатный стресс-тест.

Это что-то из теории заговоров. У меня друг работает в Google. Он говорит, что почти во всех крупных IT-корпорациях за найденные ошибки уязвимости платят приличные суммы. Без какого-либо обмана и попыток сэкономить на "кодерах".
Кинолог написал(а):
А вдруг Мутийя сделал рекламный пост? Зачем это надо? Чтобы другие программисты попытались протестировать их систему безопасности. Так сказать, бесплатный стресс-тест.
Гость написал(а):
Такой простой баг, и не могли отловить. Стыдно за фейсбук!!!

Если такой простой баг, то надо было самому прислать им письмо с решением проблемы и забрать награду.
BinaryControl83 написал(а):
Такой простой баг, и не могли отловить. Стыдно за фейсбук!!!
Midnight Rain написал(а):
Интересно, он целенаправленно искал уязвимость или просто неожиданно пришла идея, как можно попытаться взломать чужую учетную запись?

В любом случае радует, что компания выплатила вознаграждение за найденную уязвимость.