30 ezer dolláros biztonsági rés volt az Instagramon

​Egy biztonsági kutató markát 30 ezer dolláros jutalom ütötte, amiért az Instagram kapcsán feltárt egy súlyos biztonsági rést. Bármely fiókot fel lehetett volna törni a sebezhetőségen keresztül.
 

A Facebooknak is van olyan hibavadász programja, amely kiterjed az Instagramra, és jutalmazza azokat a biztonsági kutatókat, akik az előírások szerint, etikus módon jeleznek sérülékenységeket. Az indiai származású Laxman Muthiyah biztonsági szakember is e program részeként kezdte vizsgálni a népszerű képmegosztó jelszóhelyreállító funkcióját mobil eszközök bevonásával. 

Amikor azt látta, hogy egy jelszóhelyreállítási kérés során a felhasználók egy hatjegyű ellenőrző kódot kapnak a készülékeikre, amit meg kell adniuk, akkor rögtön felsejlett a lehetőség, hogy ezt a hat számjegyet gyorsan végig lehet pörgetni, és így megfejteni a kódot. Ha pedig rendelkezésre áll a kód, akkor a célkeresztbe állított fiók felett át lehet venni az irányítást. A jelszó megváltoztatásával pedig a jogos tulajdonost ki lehet zárni a profiljából. 

Persze azért minderre az Instagram fejlesztői is gondoltak, és több védelmi mechanizmust is beépítettek a rendszerbe. Egyrészt a hatszámjegyű ellenőrző kódok csak 10 percig élnek, tehát ennyi ideig támadhatók. Másrészt a próbálgatások száma is korlátozott. A hiba ez utóbbi védelem kapcsán merült fel. Laxman Muthiyah ugyanis olyan módszert dolgozott ki, amelynek segítségével egy 1000 kódot tartalmazó listából 250-et sikerült lepróbálnia, a többi kérést blokkolta csak az Instagram. Ezt követően egyéb technikák alkalmazásával és IP-címek cserélgetésével sikeresen feltört egy erre a célra létrehozott saját fiókot. 

A szakember szerint, ha a hibát egy támadó ki akarta volna használni, és biztosra akart volna menni, akkor maximum ötezer IP-címre lett volna szüksége. Ez első hallásra soknak tűnhet, de a szakember számításai szerint 150 dolláros költséggel a nagyobb felhőszolgáltatók által biztosított technikai lehetőségekkel kivitelezhető lett volna egy ilyen "akció". És akkor még nem is beszültünk arról az eshetőségről, ha a kiberbűnözők egy teljes botnetet állítottak volna rá egy ilyen támadásra. 

Muthiyah elújságolta, hogy július 10-én kereste meg a Facebook, hogy az általa bejelentett sebezhetőség kapcsán 30 ezer dolláros jutalmat kap. Az Instagram fejlesztői azóta már megtették a szükséges intézkedéseket, megerősítették a rendszer védelmét, így a szóban forgó módszer már nem használható fel támadások során. 

Muthiyah-nak egyébként nem ez volt az első ilyen jellegű sikere, hiszen már korábban is tárt fel olyan rendellenességeket, amelyek révén például videókat, fényképeket lehetett jogosulatlanul törölni a Facebookról, vagy éppen privát tartalmakhoz lehetett hozzáférést szerezni.