Исследователь в сфере кибербезопасности из Индии Лаксман Мутийя нашел уязвимость в соцсети Instagram, которая позволила ему получить доступ к любому аккаунту в соцсети за десять минут. Об этом он написал в своем блоге Zero Hack.
Мутийя рассказал, что взломать аккаунт ему помогло несовершенство системы восстановления пароля. При его смене пользователю на смартфон или на электронную почту обычно отправляется цифровой код с целью удостовериться, что смену пароля производит именно он. Он предположил, что если отправить 1 млн кодов, можно в итоге угадать верный.
Воспользовавшись тысячей IP-адресов для отправки кодов, он отправил более 200 тыс. запросов за десять минут — время, за которое истекает срок действия отправленного пользователю кода. И в итоге угадал. Мутийя отметил, что ресурсы для такой атаки возможно приобрести за сравнительно небольшую сумму — $150 (около 9 тыс. рублей).
Специалист предупредил компанию Facebook, владеющую Instagram, о найденной им уязвимости. В итоге в соцсети исправили уязвимость, а нашедшему ее специалисту выплатили $30 тыс. (примерно 1,9 млн рублей).
