Un analyste de la sécurité a découvert une vulnérabilité dans Processus de récupération de compte Instagram qui lui a donné accès à un compte test.
ΈUn analyste de sécurité a trouvé un bogue dans le processus de récupération de compte Instagram qui peut avoir mis de nombreux comptes en danger.
L'analyste Laxman Muthiyah a découvert l'erreur en enquêtant sur la façon dont l'application vous permet de retrouver l'accès à votre compte après avoir oublié le mot de passe. Pour l'authentification, Instagram envoie un numéro aléatoire à six chiffres par SMS sur le téléphone de l'utilisateur, ce qui donne accès au compte.
Le chercheur s'est demandé si l'on pouvait utiliser la technique "la force brute« Pour contourner le système. Dans cette méthode, des milliers de combinaisons aléatoires sont entrées jusqu'à ce que la bonne soit trouvée. Dans ce cas, l'astuce a fonctionné, mais il existe des circonstances spécifiques qui rendent l'ensemble du processus assez compliqué.
Plus précisément, Instagram a des restrictions sur la saisie de ces codes. Vous avez donc une limite de 250 tentatives par adresse IP à effectuer dans le délai de dix minutes.
Pour deviner un code à six chiffres, vous devez essayer environ un million de combinaisons différentes. Ce numéro est suffisant pour garder le système à l'abri d'un simple utilisateur. Cependant, Mutiyah a trouvé un moyen d'automatiser le processus. L'écriture d'un programme était capable d'importer d'énormes volumes de combinaisons aléatoires à partir d'une liste d'adresses IP différentes.
Muthiyah a mis en ligne une vidéo de l'attaque le montrant en train d'envoyer 200.000 5.000 combinaisons différentes essayant de casser un compte test. "Dans une attaque réelle, l'attaquant aura besoin d'environ 150 XNUMX IP pour casser le compte. Cela peut sembler un grand nombre, mais en réalité, ce n'est pas difficile. Si vous utilisez un service cloud d'Amazon ou de Google, il vous en coûtera environ XNUMX $ pour effectuer une attaque complète d'un million de mots de passe. » Il a dit dans un rapport Blog.
La bonne nouvelle est qu'Instagram a résolu le problème. Mythiyah a déclaré à PCMag que l'application bloque désormais le nombre de mots de passe qu'un utilisateur peut saisir quelle que soit son adresse IP.
Dans un e-mail, Instagram a déclaré à PCMag : "Nous avons résolu le problème et n'avons trouvé aucun exploit. Nous sommes reconnaissants à l'analyste qui a aidé à identifier le problème. » Facebook, qui possède Instagram, a un programme qui récompense la recherche de bugs via Bugcrowd, qui a fait un don de 30.000 XNUMX $ à Muthiyah pour sa découverte.
[the_ad_group id = "966"]