30 ezer dolláros biztonsági rés volt az Instagramon
Egy biztonsági kutató markát 30 ezer dolláros jutalom ütötte, amiért az Instagram kapcsán feltárt egy súlyos biztonsági rést. Bármely fiókot fel lehetett volna törni a sebezhetőségen keresztül.A Facebooknak is van olyan hibavadász programja, amely kiterjed az Instagramra, és jutalmazza azokat a biztonsági kutatókat, akik az előírások szerint, etikus módon jeleznek sérülékenységeket. Az indiai származású Laxman Muthiyah biztonsági szakember is e program részeként kezdte vizsgálni a népszerű képmegosztó jelszóhelyreállító funkcióját mobil eszközök bevonásával.
Amikor azt látta, hogy egy jelszóhelyreállítási kérés során a felhasználók egy hatjegyű ellenőrző kódot kapnak a készülékeikre, amit meg kell adniuk, akkor rögtön felsejlett a lehetőség, hogy ezt a hat számjegyet gyorsan végig lehet pörgetni, és így megfejteni a kódot. Ha pedig rendelkezésre áll a kód, akkor a célkeresztbe állított fiók felett át lehet venni az irányítást. A jelszó megváltoztatásával pedig a jogos tulajdonost ki lehet zárni a profiljából.
Persze azért minderre az Instagram fejlesztői is gondoltak, és több védelmi mechanizmust is beépítettek a rendszerbe. Egyrészt a hatszámjegyű ellenőrző kódok csak 10 percig élnek, tehát ennyi ideig támadhatók. Másrészt a próbálgatások száma is korlátozott. A hiba ez utóbbi védelem kapcsán merült fel. Laxman Muthiyah ugyanis olyan módszert dolgozott ki, amelynek segítségével egy 1000 kódot tartalmazó listából 250-et sikerült lepróbálnia, a többi kérést blokkolta csak az Instagram. Ezt követően egyéb technikák alkalmazásával és IP-címek cserélgetésével sikeresen feltört egy erre a célra létrehozott saját fiókot.
A szakember szerint, ha a hibát egy támadó ki akarta volna használni, és biztosra akart volna menni, akkor maximum ötezer IP-címre lett volna szüksége. Ez első hallásra soknak tűnhet, de a szakember számításai szerint 150 dolláros költséggel a nagyobb felhőszolgáltatók által biztosított technikai lehetőségekkel kivitelezhető lett volna egy ilyen "akció". És akkor még nem is beszültünk arról az eshetőségről, ha a kiberbűnözők egy teljes botnetet állítottak volna rá egy ilyen támadásra.
Muthiyah elújságolta, hogy július 10-én kereste meg a Facebook, hogy az általa bejelentett sebezhetőség kapcsán 30 ezer dolláros jutalmat kap. Az Instagram fejlesztői azóta már megtették a szükséges intézkedéseket, megerősítették a rendszer védelmét, így a szóban forgó módszer már nem használható fel támadások során.
Muthiyah-nak egyébként nem ez volt az első ilyen jellegű sikere, hiszen már korábban is tárt fel olyan rendellenességeket, amelyek révén például videókat, fényképeket lehetett jogosulatlanul törölni a Facebookról, vagy éppen privát tartalmakhoz lehetett hozzáférést szerezni.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.