Как взломать любой Instagram за десять минут
Лавочку уже прикрыли.
Лаксман Мутийя, исследователь в сфере кибербезопасности, нашёл способ взломать любой Instagram-аккаунт за десять минут. Он описал этот способ в своём блоге, а про уязвимость предупредил Facebook.
При смене пароля вам на номер телефона или почту приходит код, который вводится для подтверждения личности. Мутийя предположил, что если отправить миллион таких кодов, то верный вы точно найдёте, но это невозможно из-за ограничения количества запросов Instagram.
Одно большое «но»
Несмотря на ограничение количества отправляемых запросов, их можно отослать с тысячи IP-адресов. Мутийя так и сделал: он отправил тысячу запросов за десять минут — это срок действия на отправление кода пользователю, — и получил 200 000 кодов.
Получается, что для миллиона запросов потребуется пять тысяч IP-адресов, и на подобный взлом нужно около 150 долларов.
Специалист предупредил Facebook и получил за это вознаграждение в 30 000 долларов. Уязвимость, кстати, уже исправили, так что можете не пытаться это повторить.
Сложно представить, что могло произойти, если бы такой баг оказался в открытом доступе раньше, и сколько пользователей и предпринимателей могли пострадать. Поэтому сейчас советуем придумать пароль получше, включить дополнительную аутентификацию по номеру или почте и выкладывать фоточки дальше.