Спецпроекты

Безопасность Пользователю Интернет Веб-сервисы Техника

Найден способ взломать любой аккаунт Instagram за 10 минут. Видео

В мобильной версии Instagram обнаружена уязвимость, которая позволяет злоумышленнику сбросить пароль для совершенно любой учетной записи и получить над ней полный контроль.

Уязвимость в Instagram

Независимый специалист в сфере информационной безопасности из Индии Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в Instagram, которая позволяет взломать любую учетную запись сервиса, потратив на это порядка 10 минут и $150.

Ключ к успеху оказался в несовершенстве механизма восстановления паролей мобильной версии сервиса. Функция сброса пароля позволяет пользователю вернуть себе доступ к аккаунту в Instagram при помощи ввода секретного шестизначного цифрового кода, отправленного на привязанный к учетной записи номер мобильного телефона. Такой код действует в течение 10 минут.

Мутия рассматривал возможность перебора всех возможных комбинаций кода, но, как выяснилось, Instagram ограничивает частоту запросов: в первой итерации теста, проведенного хакером, 250 из 1 тыс. запросов достигли своей цели. Таким образом, взломать аккаунт простым перебором миллиона вариантов секретного кода, уложившись в 10 минут, оказалось невозможным.

Тем не менее, эксперт обратил свое внимание на отсутствие у Instagram механизма черного списка IP-адресов, то есть даже при превышении частоты обращений к сервису, интернет-адрес взломщика не подвергался блокировке. Воспользовавшись этим, хакер организовал одновременный перебор кодов со множества различных IP. Для успешного осуществления описанной атаки оказалось достаточно 1 тыс. адресов, однако, по его собственному признанию, в реальных условиях понадобилось бы около 5 тыс.

Как отметил специалист, при использовании облачных сервисов вроде Amazon Web Services или Google Cloud Platform данная, на первый взгляд непростая задача, решается достаточно легко и с минимальными затратами – примерно в $150.

Реакция разработчиков сервиса

Обнаружив данную уязвимость, Мутия немедленно сообщил о ней команде безопасности Facebook (Instagram, напомним, входит в экосистему Facebook), однако те не смогли самостоятельно воспроизвести действия хакера. Чтобы убедить представителей компании в осуществимости атаки, Мутия пришлось записать специальное видео, иллюстрирующее ее ход.

За информацию о проблеме, которая на сегодняшний день уже решена разработчиками, компания пообещала выплатить исследователю $30 тыс. в рамках программы вознаграждения за найденные уязвимости (bug bounty).

Инциденты ИБ с участием Facebook

За последние несколько лет Facebook неоднократно оказывалась в центре различных скандалов из-за по меньшей мере небрежного отношения к своим обязанностям по защите данных собственных пользователей, что негативно отразилась на репутации компании и не позволило ей войти даже в первую сотню рейтинга самых уважаемых компаний Global Reptrak 100.

В апреле 2019 г. Facebook уличили в том, что при регистрации в социальной сети может запрашиваться пароль пользователя к его электронной почте, если почтовый сервис клиента вызывает у системы некие подозрения. В списке «подозрительных» оказался и популярный российский сервис «Яндекс.почта».

В марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете.

В марте 2019 г. утечка внутренних документов выявила, что Facebook шантажировала влиятельных политиков по всему миру с целью добиться в отдельных странах послабления законодательства в сфере защиты приватности пользователей.

В сентябре 2018 г. Facebook признала утечку данных более 50 млн владельцев учетных записей. Причиной взлома стала серьезная уязвимость в коде Facebook. Она была устранена в кратчайшие сроки, а о случившемся были уведомлены правоохранительные органы.

В ноябре 2018 г. стало известно о том, что соцсеть не смогла дать отпор киберпреступникам, в результате чего в руках хакеров оказались личные сведения о более чем 120 млн пользователей сети. Данные были выставлены на продажу по цене в 10 центов за один профиль.

В период с 2007 по 2014 гг. социальная сеть передавала британской аналитической компании Cambridge Analytica сведения о своих пользователях, в результате чего пострадали 87 млн человек.

Дмитрий Степанов

Короткая ссылка