Olyan biztonsági hibát fedezett fel az Instagramban egy kutató, amellyel bárkinek a fiókja fölött könnyedén át lehetett volna venni az irányítást. Miután jelezte a hibát, a cég azt javította, így a veszély elhárult – írja a SecurityAffairs.

Az Instagram mobilappjában a jelszó-visszaállítási funkció volt rosszul beállítva. Amikor egy felhasználó új jelszót kér, kap egy hat számból álló kódot mobilon vagy emailben, ezt kell megadnia. Ahhoz, hogy egy támadó bejusson egy fiókba, ezt a kódot kell kitalálnia, amihez egymillió számkombinációt kell kipróbálnia. Mivel ez könnyedén automatizálható, a szolgáltatások korlátozásokkal szoktak védekezni az ilyen támadások ellen, például adott idő alatt csak korlátozott számú próbálkozást engednek, illetve letiltják azt, aki túl sok próbát tesz.

A kritikus sebezhetőséget felfedező indiai kutató, Laxman Muthiyah azt vette észre, hogy az Instagramnál ezek a korlátozások nem voltak megfelelően szabályozva, így különböző IP-címekről párhuzamosan próbálkozva meg tudta kerülni őket, hogy hozzáférjen bármelyik kiszemelt fiókhoz. A módszerről egy videót is közzétett:

Muthiyah még a közzététel előtt jelezte a hibát az Instagramnak, amiért 30 ezer dolláros (8,7 millió forintos) jutalmat kapott a cég hibavadász programjának keretében. Magát a hibát pedig mostanra javították.