30 ezer dolláros biztonsági rés volt az Instagramon

​Egy biztonsági kutató markát 30 ezer dolláros jutalom ütötte, amiért az Instagram kapcsán feltárt egy súlyos biztonsági rést. Bármely fiókot fel lehetett volna törni a sebezhetőségen keresztül.
 

A Facebooknak is van olyan hibavadász programja, amely kiterjed az Instagramra, és jutalmazza azokat a biztonsági kutatókat, akik az előírások szerint, etikus módon jeleznek sérülékenységeket. Az indiai származású Laxman Muthiyah biztonsági szakember is e program részeként kezdte vizsgálni a népszerű képmegosztó jelszóhelyreállító funkcióját mobil eszközök bevonásával. 

Amikor azt látta, hogy egy jelszóhelyreállítási kérés során a felhasználók egy hatjegyű ellenőrző kódot kapnak a készülékeikre, amit meg kell adniuk, akkor rögtön felsejlett a lehetőség, hogy ezt a hat számjegyet gyorsan végig lehet pörgetni, és így megfejteni a kódot. Ha pedig rendelkezésre áll a kód, akkor a célkeresztbe állított fiók felett át lehet venni az irányítást. A jelszó megváltoztatásával pedig a jogos tulajdonost ki lehet zárni a profiljából. 

Persze azért minderre az Instagram fejlesztői is gondoltak, és több védelmi mechanizmust is beépítettek a rendszerbe. Egyrészt a hatszámjegyű ellenőrző kódok csak 10 percig élnek, tehát ennyi ideig támadhatók. Másrészt a próbálgatások száma is korlátozott. A hiba ez utóbbi védelem kapcsán merült fel. Laxman Muthiyah ugyanis olyan módszert dolgozott ki, amelynek segítségével egy 1000 kódot tartalmazó listából 250-et sikerült lepróbálnia, a többi kérést blokkolta csak az Instagram. Ezt követően egyéb technikák alkalmazásával és IP-címek cserélgetésével sikeresen feltört egy erre a célra létrehozott saját fiókot. 

A szakember szerint, ha a hibát egy támadó ki akarta volna használni, és biztosra akart volna menni, akkor maximum ötezer IP-címre lett volna szüksége. Ez első hallásra soknak tűnhet, de a szakember számításai szerint 150 dolláros költséggel a nagyobb felhőszolgáltatók által biztosított technikai lehetőségekkel kivitelezhető lett volna egy ilyen "akció". És akkor még nem is beszültünk arról az eshetőségről, ha a kiberbűnözők egy teljes botnetet állítottak volna rá egy ilyen támadásra. 

Muthiyah elújságolta, hogy július 10-én kereste meg a Facebook, hogy az általa bejelentett sebezhetőség kapcsán 30 ezer dolláros jutalmat kap. Az Instagram fejlesztői azóta már megtették a szükséges intézkedéseket, megerősítették a rendszer védelmét, így a szóban forgó módszer már nem használható fel támadások során. 

Muthiyah-nak egyébként nem ez volt az első ilyen jellegű sikere, hiszen már korábban is tárt fel olyan rendellenességeket, amelyek révén például videókat, fényképeket lehetett jogosulatlanul törölni a Facebookról, vagy éppen privát tartalmakhoz lehetett hozzáférést szerezni.
Vélemények
 
  1. 4

    A Google Chrome webböngésző jelentős mennyiségű biztonsági hibajavítással gyarapodott.

  2. 4

    A Mozilla Firefox legújabb verziója biztonsági hibákat is javít.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

Bizalmas katonai adatok leselejtezett számítógépen

A G DATA szakértői többek között egy föld-levegő rakétarendszer felhasználói kézikönyvét is megtalálták a német hadsereg által leselejtezett notebookon, melyet az eBay-en vásároltak meg.

hirdetés
Közösség
1