Swinnen: Πως παραβίασα το Instagram

Ο ερευνητής ασφαλείας Arne Swinnen ανακάλυψε στο κενά ασφαλείας που επιτρέπουν την ανεύρεση κωδικών ς των μελών του με επιθέσεις brute force. Το κενό ασφαλείας θα επέτρεπε στον ερευνητή να αποκτήσει πρόσβαση σε περίπου 20 εκατομμύρια λογαριασμούς.instagram

Ο ερευνητής της NVISO αναφέρει ότι ένα κενό στον έλεγχο ταυτότητας σε συνδυασμό με μια του object reference επέτρεπε στους επιτιθέμενους να αποκτήσουν πρόσβαση στο 4% των λογαριασμών που βρισκόταν σε κατάσταση temporary lock.

Το Facebook που του ανήκει το Instagram επιβράβευσε τον Swinnen (@arneswinnen) με 5000 δολάρια για την ανακοίνωση της ευπάθειας, και εντός 10 ημερών ανέπτυξε ένα patch που διορθώνει το κενό ασφαλείας.

Ο Swinnen ανακάλυψε έναν σύνδεσμο επαλήθευσης λογαριασμού με ένα δοκιμαστικό λογαριασμό και στη συνέχεια άρχισε να αλλάζει το αναγνωριστικό χρήστη στη διεύθυνση URL δοκιμάζοντας ένα εκατομμύριο λογαριασμούς.

Η μορφή επαλήθευσης ήταν διαφορετική για διάφορους λογαριασμούς. Μερικοί λογαριασμοί ήταν ασφαλείς, ενώ άλλοι έδιναν τη δυνατότητα σε έναν εισβολέα να υποκλέψει τους κωδικούς πρόσβασης.

“Η υπόθεση ήταν αρκετά ενοχλητική, καθώς ένας εισβολέας θα μπορούσε αφενός να συγκεντρώσει ευαίσθητες του χρήστη (αριθμούς τηλεφώνου) και από την άλλη πλευρά να αλλάξει τους τηλεφωνικούς αριθμούς που συνδεόταν με τον λογαριασμό του θύματος στο Ιnstagram,” αναφέρει ο Swinnen.

Περισσότερες λεπτομέρειες από το παρακάτω link:

https://www.arneswinnen.net/2016/03/how-i-could-compromise-4-locked-instagram-accounts/

iGuRu.gr The Best Technology Site in Greecefgns

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).