Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.
Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил о критической уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. «Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут), отправленный на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность.
С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций, но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа.
В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150, пояснил эксперт.
Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.
