Instagram zaifligi xakerlarga 10 daqiqa ichida istalgan akkauntni buzish imkonini berdi.
Zaiflikdan foydalanish har qanday Instagram akkaunti uchun parolni qayta o’rnatish va to’liq nazoratni qo’lga kiritish imkonini berdi.
Xavfsizlik bo’yicha tadqiqotchi Laxman Muthiyah Instagram mobil ilovasida muhim zaiflik haqida xabar berdi. Zaiflikdan foydalanish har qanday Instagram akkaunti uchun parolni tiklash imkonini berdi va bu tajovuzkorlarga uni to’liq nazorat qilish imkonini berdi. «Parolni tiklash» yoki «parolni tiklash» foydalanuvchilarga parolni unutgan bo’lsa, o’z veb-sayt hisobiga kirishni qayta tiklash imkonini beruvchi xususiyatdir. Instagram’da foydalanuvchilar o‘z shaxsini tasdiqlash uchun mobil telefon raqami yoki elektron pochta manziliga yuborilgan olti xonali maxfiy kodni (10 daqiqadan so‘ng tugaydi) tasdiqlashlari talab qilinadi.
Shafqatsiz hujum har qanday Instagram akkauntini millionlab mumkin bo’lgan kombinatsiyalardan biri yordamida blokdan chiqarishi mumkin, ammo Instagramda bunday hujumlarning oldini olish uchun tezlikni cheklash yoqilgan. Muthiya turli IP-manzillardan shafqatsiz kuch so’rovlarini yuborish va poyga shartidan foydalanib, bir nechta kirish urinishlarini qayta ishlash uchun keyingi so’rovlarni yuborish orqali cheklovni chetlab o’tish yo’lini topdi.
Haqiqiy stsenariyda tajovuzkorga hisobni buzish uchun 5000 ta IP manzil kerak bo’ladi. Garchi bu juda qiyin vazifadek tuyulsa-da, Amazon yoki Google kabi bulutli xizmatlar yordamida osonlikcha uddalanadi. Butun hujum taxminan 150 dollarga tushadi, deya tushuntirdi ekspert.
Mutia ushbu zaiflik uchun namoyish ekspluatatsiyasini nashr etdi. Kompaniya zaiflik uchun mukofot dasturi doirasida tadqiqotchiga bu haqdagi ma’lumot uchun 30 000 dollar to’lagan.
