白帽黑客发现Instagram帐户接管问题获得10,000美元奖励

Talos  1676天前

一位研究人员表示,在找到一个可能被利用来破解Instagram帐户的关键漏洞之后,他又从Facebook获得了10,000美元。

insta-hack-2-1068x624.jpg

印度白帽黑客Laxman Muthiyah在查看 Instagram 的移动设备密码恢复系统时发现了该问题,在此过程中,用户会在手机上收到六位数字的验证码,他们必须在 10 分钟内输入该验证码才可以更改密码。

Instagram 的开发人员已经实施了一些保护机制,以防止通过暴力攻击获取验证码。但是,根据 Muthiyah 的说法,在请求密码重置验证码时,请求中包含由 Instagram 应用程序为每个设备随机生成的 ID。此设备 ID 还用于检查六位验证码的有效性。

研究人员注意到,相同的设备 ID 可用于请求多个用户帐户的验证码。这意味着,如果有足够多的请求,攻击者将能够获取正确的验证码。

“6位验证码(000001至999999)有一百万个可能性。当我们请求多个用户的密码时,我们增加了黑客攻击帐户的可能性,“Muthiyah 在博客文章中解释道。“例如,如果您使用相同的设备ID请求10万用户的密码,则可以获得10%的成功率,因为​​那么多的验证码将发送到同一设备ID。如果我们请求100万用户的密码,我们就可以通过逐个变换验证码来轻松破解100万个帐户。“

因此,攻击者应该请求100万用户的验证码以100%的成功率完成攻击。我们还应该注意验证码在10分钟到期的问题,因此整个攻击应该在10分钟内完成。

Facebook确定该漏洞是由移动端密码恢复系统上的保护不足引起的。其通过验证确定漏洞存在,并且向白帽黑客支付了10,000美元。

7月,Muthiyah发现一个Instagram帐户接管漏洞,从Facebook 获得了30,000美元。该漏洞通过使用5,000个不同的IP地址来获得六位数验证码,这些IP地址将发送一百万个可能的验证码组合。

在过去一段时间,Muthiyah 因找到这些缺陷:删除视频、访问私人照片和删除用户照片而从 Facebook 获得了巨额奖金。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.securityweek.com/hacker-finds-instagram-account-takeover-flaw-worth-10000

最新评论

昵称
邮箱
提交评论