30 ezer dolláros biztonsági rés volt az Instagramon

​Egy biztonsági kutató markát 30 ezer dolláros jutalom ütötte, amiért az Instagram kapcsán feltárt egy súlyos biztonsági rést. Bármely fiókot fel lehetett volna törni a sebezhetőségen keresztül.
 

A Facebooknak is van olyan hibavadász programja, amely kiterjed az Instagramra, és jutalmazza azokat a biztonsági kutatókat, akik az előírások szerint, etikus módon jeleznek sérülékenységeket. Az indiai származású Laxman Muthiyah biztonsági szakember is e program részeként kezdte vizsgálni a népszerű képmegosztó jelszóhelyreállító funkcióját mobil eszközök bevonásával. 

Amikor azt látta, hogy egy jelszóhelyreállítási kérés során a felhasználók egy hatjegyű ellenőrző kódot kapnak a készülékeikre, amit meg kell adniuk, akkor rögtön felsejlett a lehetőség, hogy ezt a hat számjegyet gyorsan végig lehet pörgetni, és így megfejteni a kódot. Ha pedig rendelkezésre áll a kód, akkor a célkeresztbe állított fiók felett át lehet venni az irányítást. A jelszó megváltoztatásával pedig a jogos tulajdonost ki lehet zárni a profiljából. 

Persze azért minderre az Instagram fejlesztői is gondoltak, és több védelmi mechanizmust is beépítettek a rendszerbe. Egyrészt a hatszámjegyű ellenőrző kódok csak 10 percig élnek, tehát ennyi ideig támadhatók. Másrészt a próbálgatások száma is korlátozott. A hiba ez utóbbi védelem kapcsán merült fel. Laxman Muthiyah ugyanis olyan módszert dolgozott ki, amelynek segítségével egy 1000 kódot tartalmazó listából 250-et sikerült lepróbálnia, a többi kérést blokkolta csak az Instagram. Ezt követően egyéb technikák alkalmazásával és IP-címek cserélgetésével sikeresen feltört egy erre a célra létrehozott saját fiókot. 

A szakember szerint, ha a hibát egy támadó ki akarta volna használni, és biztosra akart volna menni, akkor maximum ötezer IP-címre lett volna szüksége. Ez első hallásra soknak tűnhet, de a szakember számításai szerint 150 dolláros költséggel a nagyobb felhőszolgáltatók által biztosított technikai lehetőségekkel kivitelezhető lett volna egy ilyen "akció". És akkor még nem is beszültünk arról az eshetőségről, ha a kiberbűnözők egy teljes botnetet állítottak volna rá egy ilyen támadásra. 

Muthiyah elújságolta, hogy július 10-én kereste meg a Facebook, hogy az általa bejelentett sebezhetőség kapcsán 30 ezer dolláros jutalmat kap. Az Instagram fejlesztői azóta már megtették a szükséges intézkedéseket, megerősítették a rendszer védelmét, így a szóban forgó módszer már nem használható fel támadások során. 

Muthiyah-nak egyébként nem ez volt az első ilyen jellegű sikere, hiszen már korábban is tárt fel olyan rendellenességeket, amelyek révén például videókat, fényképeket lehetett jogosulatlanul törölni a Facebookról, vagy éppen privát tartalmakhoz lehetett hozzáférést szerezni.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség