Хакер получил $30 000 за взлом Instagram

Уязвимость, обнаруженная в популярной социальной сети Instagram экспертом в области информационной безопасности по имени Лаксман Мутийя, позволяла получить доступ к любому аккаунту всего за 10 минут.

Сейчас опасная уязвимость исправлена, а хакер, который ее обнаружил, получил в награду тридцать тысяч американских долларов.

Мутийя взломал "Инстаграм" при помощи уязвимости в механизме восстановления пароля. Активация этого механизма сопровождается процедурой ввода одноразового кода, который приходит на электронную почту пользователя.

Хакер предположил, что если "скормить" "Инстаграму" один миллион кодов, то можно подобрать верный, и, таким образом, сбросить пароль от любой учетной записи и стать ее владельцем.

Само-собой, что разработчики "Инстаграма" защитились от брутфорса формы ввода одноразового кода при сбросе пароля, но хакер обнаружил лазейку, позволяющую обойти ограничение.

"Там реализована защита по IP. То есть, с одного адреса можно осуществить только несколько попыток ввести код. Но если использовать тысячи прокси-серверов, то эта проблема решается", — говорит Мутийя.

Эксперт смог взломать аккаунт в Instagram при помощи 1000 IP-адресов, с которых он за 10 минут отправил 200 000 случайных кодов в форму восстановления пароля.

Продемонстрировав уязвимость компании Facebook (ей принадлежит "Инстаграм"), хакер получил вознаграждение в размере 30 000 долларов США.