30 ezer dolláros biztonsági rés volt az Instagramon
Egy biztonsági kutató markát 30 ezer dolláros jutalom ütötte, amiért az Instagram kapcsán feltárt egy súlyos biztonsági rést. Bármely fiókot fel lehetett volna törni a sebezhetőségen keresztül.
A Facebooknak is van olyan hibavadász programja, amely kiterjed az Instagramra, és jutalmazza azokat a biztonsági kutatókat, akik az előírások szerint, etikus módon jeleznek sérülékenységeket. Az indiai származású Laxman Muthiyah biztonsági szakember is e program részeként kezdte vizsgálni a népszerű képmegosztó jelszóhelyreállító funkcióját mobil eszközök bevonásával.
Amikor azt látta, hogy egy jelszóhelyreállítási kérés során a felhasználók egy hatjegyű ellenőrző kódot kapnak a készülékeikre, amit meg kell adniuk, akkor rögtön felsejlett a lehetőség, hogy ezt a hat számjegyet gyorsan végig lehet pörgetni, és így megfejteni a kódot. Ha pedig rendelkezésre áll a kód, akkor a célkeresztbe állított fiók felett át lehet venni az irányítást. A jelszó megváltoztatásával pedig a jogos tulajdonost ki lehet zárni a profiljából.
Persze azért minderre az Instagram fejlesztői is gondoltak, és több védelmi mechanizmust is beépítettek a rendszerbe. Egyrészt a hatszámjegyű ellenőrző kódok csak 10 percig élnek, tehát ennyi ideig támadhatók. Másrészt a próbálgatások száma is korlátozott. A hiba ez utóbbi védelem kapcsán merült fel. Laxman Muthiyah ugyanis olyan módszert dolgozott ki, amelynek segítségével egy 1000 kódot tartalmazó listából 250-et sikerült lepróbálnia, a többi kérést blokkolta csak az Instagram. Ezt követően egyéb technikák alkalmazásával és IP-címek cserélgetésével sikeresen feltört egy erre a célra létrehozott saját fiókot.
A szakember szerint, ha a hibát egy támadó ki akarta volna használni, és biztosra akart volna menni, akkor maximum ötezer IP-címre lett volna szüksége. Ez első hallásra soknak tűnhet, de a szakember számításai szerint 150 dolláros költséggel a nagyobb felhőszolgáltatók által biztosított technikai lehetőségekkel kivitelezhető lett volna egy ilyen "akció". És akkor még nem is beszültünk arról az eshetőségről, ha a kiberbűnözők egy teljes botnetet állítottak volna rá egy ilyen támadásra.
Muthiyah elújságolta, hogy július 10-én kereste meg a Facebook, hogy az általa bejelentett sebezhetőség kapcsán 30 ezer dolláros jutalmat kap. Az Instagram fejlesztői azóta már megtették a szükséges intézkedéseket, megerősítették a rendszer védelmét, így a szóban forgó módszer már nem használható fel támadások során.
Muthiyah-nak egyébként nem ez volt az első ilyen jellegű sikere, hiszen már korábban is tárt fel olyan rendellenességeket, amelyek révén például videókat, fényképeket lehetett jogosulatlanul törölni a Facebookról, vagy éppen privát tartalmakhoz lehetett hozzáférést szerezni.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
-
Az Adobe hat sebezhetőséget orvosolt az InDesignban.
-
15 biztonsági javítással gyarapodott az Adobe FrameMaker.
-
Az SAP kiadta a júliusi biztonsági frissítéseit.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat