اكتشف لاكسمان موثية ، باحث أمني مقيم في تشيناي ، ثغرة أمنية جديدة في عمليات الاستيلاء على الحساب Instagram وبذلك ربح 10000 دولار (حوالي 7.2 روبية لكح) كجزء من Facebookبرنامج مكافأة الأخطاء. اكتشف موثية ثغرة أمنية مماثلة في شهر يوليو ، حيث حصل على 30،000 دولار (حوالي 21.6 روبية لكس)
ومع ذلك، Facebook وقد حدد الآن الضعف. لاحظ موثية أن معرف الجهاز نفسه – المعرف الفريد المستخدم من قبل Instagram خادم للتحقق من صحة رموز إعادة تعيين كلمة المرور – يمكن استخدامها لطلب رموز مرور متعددة من مختلف المستخدمين.
Facebook وقال في رسالة إلى Muthiyah- "لقد حددت حماية غير كافية في نقطة نهاية الاسترداد ، مما سمح للمهاجم بإنشاء العديد من العناصر غير الصالحة الصالحة لعشر محاولات استرداد."
اكتشف موثية الشهر الماضي أن الخلل قد يسمح لأشخاص آخرين بخلاف المستخدم الفعلي بالسيطرة على الحساب. تم ذلك عن طريق طلب إعادة تعيين كلمة المرور ، أو طلب رمز الاسترداد ، أو تجربة رموز الاسترداد المحتملة بسرعة لإدخال الحساب.
قال موثية في مدونة ، "Facebook و Instagram قام فريق الأمن بإصلاح المشكلة ومكافأتي بمبلغ 10000 دولار كجزء من برنامج المكافآت الخاص بهم. أبلغت عن الضعف في Facebook فريق الأمن ولم يتمكنوا من إعادة إنتاجه في البداية بسبب نقص المعلومات في تقريري. كتب موثية في منشور بالمدونة "بعد بضعة رسائل بريد إلكتروني وإثبات لمفهوم الفيديو ، يمكنني إقناعهم بأن الهجوم ممكن".
Instagram لا يسمح لك بالقيام بذلك في أوقات غير محدودة. سيتم قفلك عندما يتم إدخال الرمز الخاطئ أكثر من 200 مرة. أيضًا ، لدى الشخص الذي يقوم بذلك 10 دقائق فقط لكمة كود إعادة التعيين. العيب يأتي هنا. إذا طلب شخص ما إعادة تعيين متعددة في نفس الوقت وحاول استخدام أرقام عشوائية – كل ذلك على ظهره ، فمن المرجح أن ينجح الشخص. لسوء الحظ ، سمح هذا من قبل Facebookالتطبيق المملوكة. هذا هو بالضبط ما أشار لاكسمان.
هذه مشكلة خطيرة للغاية ، لا سيما عندما تأتي الخصوصية إلى دائرة الضوء. أي شخص يمكن أن اخترق الخاص بك Instagram حساب إذا ذهب هذا الخيار لم يتم كشفها.
الأخيرة
