EN
 

آسیب‌پذیری در بخش بازیابی رمزعبور اینستاگرام و هک شدن حساب‌های اینستاگرامی در کمتر از ۱۰ دقیقه

براساس گزارش‌های منتشر شده، شرکت فیسبوک به‌تازگی یک آسیب‌پذیری بحرانی را در سرویس اینستاگرام در حالی اصلاح کرده است که به مهاجمان اجازه می‌داد حساب‌های اینستاگرامی را بدون نیاز به هیچگونه تعاملی با صاحبان حساب‌ها، در کمتر از ۱۰ دقیقه هک کنند. این آسیب‌پذیری در بخش بازیابی حساب‌های کاربر وجود داشت که پس شناسایی و گزارش، بلافاصله برطرف شده است.
  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۲۵ تیر ۱۳۹۸
هک شدن اینستاگرام در کمتر از ۱۰ دقیقهThe Hacker News

اینستاگرام یکی از محبوب‌ترین شبکه‌های اجتماعی برای اشتراک‌گذاری تصاویر مختلف در دنیاست که همانند پلتفرم‌های بزرگی همچون فیسبوک، گوگل، توییتر و لینکدین، با وجود برخورداری از مکانیزم‌های امنیتی پیشرفته به‌طور کامل در برابر تمام حملات هکر‌ها به‌صورت صد درصدی ایمن نبوده و در مواردی دارای آسیب‌پذیری‌های ناشناخته است که به مرور زمان پس از شناسایی، اصلاح می‌شوند.

یکی از این آسیب‌پذیری‌های بحرانی که تا پیش از این در اینستاگرام ناشناخته بوده به‌تازگی توسط شرکت فیسبوک اصلاح شده است، به هکرها اجازه می‌داد که از راه دور و بدون نیاز به تعامل با کاربر (برخلاف حملات فیشینگ)، در کمتر از ده دقیقه کنترل کامل یک حساب‌ اینستاگرامی را در دست گیرند.

این مشکل امنیتی که توسط یک محقق امنیتی از کشور هند با نام لاکشمن ماتیا شناسایی شده است، در بخش مکانیزم بازیابی رمزعبور وب‌سایت اینستاگرام وجود داشت که پس از گزارش این محقق، توسط شرکت فیسبوک اصلاح شده است.

به‌طور کلی در اغلب برنامه‌ها و سرویس‌های اینترنتی، قابلیت «بازیابی رمز‌عبور» این امکان را برای کاربر فراهم می‌سازد که در صورت فراموش کردن رمز‌عبور، دسترسی مجدد به حساب‌‌ خود را به دست آورد. اینستاگرام برای این کار، یک رمز شش رقمی را به شماره موبایل یا آدرس ایمیل مالک حسابی که رمز عبور خود را فراموش کرده است، به‌منظور تایید هویت و صحت مالکیت ارسال می‌کند.

در حالت ابتدایی در فرآیند چنین قابلیتی، یک مشکل امنیتی بزرگ وجود دارد و آن نیز امکان انجام حمله جستجوی فراگیر «brute force» است که احتمال حدس زدن و یافتن کد ارسالی از سوی سرویس‌دهنده به کاربر را برای هکرها امکان‌‌پذیر می‌سازد. با این حال، سرویس‌های اینترنتی بزرگ مانند اینستاگرام برای مقابله با چنین حملاتی و به‌منظور امنیت بیشتر، از روش‌هایی دفاعی مانند محدودسازی درخواست‌ها «rate-limiting» براساس IP استفاده می‌کنند. بر همین اساس، اگر کاربری بیش از چند درخواست اشتباه در واردسازی رمز تایید هویت برای بازیابی حساب داشته باشد، برای مدت زمان مشخصی دسترسی او محدود می‌شود.

در همین رابطه براساس گزارش‌های منتشر شده، لاکشمن ماتیا طی بررسی‌های خود با استفاده از آدرس‌های IP متفاوت توانسته بود لایه دفاعی rate limiting را در حملات جستجوی فراگیر دور بزند. او در آزمایش خود با استفاده از ۵ هزار نشانی IP در کمتر از ده دقیقه توانسته بود کد ارسالی از سوی اینستاگرام را در حمله جستجوی فراگیر حدس بزند.

 

 

توضیحات بیشتر در:

How I Could Have Hacked Any Instagram Account

 

 

احراز هویت چند عاملی|اینستاگرام|شبکه‌های اجتماعی

به اشتراک بگذارید

بازگشت به بالا

شنود ترافیک HTTPS توسط دولت قزاقستان
سرویس S3 هدف هکرهای گروه Magecart