Исследователь в сфере кибербезопасности нашёл в инстаграме уязвимость, благодаря которой можно взломать любой аккаунт за десять минут. Но проблем с законом у парня из-за этого не будет. Наоборот, компания Facebook щедро вознаградила его за проделанную работу.
Лаксман Мутийя, занимающийся исследованиями в сфере кибербезопасности, 14 июля рассказал в своём блоге Zero Hack, что ему удалось найти способ взломать любой аккаунт в инстаграме за десять минут.
Исследователь воспользовался несовершенством системы восстановления пароля. При его смене на смартфон или электронную почту пользователя приходит специальный код, с помощью которого он подтверждает, что именно он и меняет пароль. Мутийя предположил, что можно угадать верный код, если отправить миллион вариантов.
Когда он попытался реализовать задумку, то столкнулся с проблемой: соцсеть ограничивает количество возможных попыток. Но и эта проблема была решена путём отправки кодов с разных IP-адресов. За десять минут, отведённых инстаграмом на ввод кода, парень успел отправить 200 тысяч запросов с тысячи IP-адресов и угадал нужную комбинацию. По расчётам Лаксмана, для взлома любого аккаунта понадобится пять тысяч IP-адресов, с которых нужно будет отправить миллион вариантов кода. Ресурсы для этого обойдутся сравнительно недорого — около 150 долларов .
Позднее Мутийя дополнил свой пост скриншотом сообщения, полученного им от представителей компании Facebook (ей принадлежит инстаграм).
Компания поблагодарила IT-специалиста за выявление уязвимости, отчиталась, что уже исправила её, и наградила парня 30 тысячами долларов.