Исследователь в сфере информационной безопасности Лаксман Мутийя рассказал в своем блоге, как ему удалось взломать Instagram (владелец компания Meta признана в России экстремистской и запрещена) за 10 минут. Несмотря на то, что Facebook (владелец компания Meta признана в России экстремистской и запрещена), владеющий фотохостингом, постоянно пытается улучшить безопасность и не допустить вмешательства извне, пример Мутийи доказывает, что над этой проблемой можно работать бесконечно.
Эксперт обнаружил уязвимость в системе восстановления пароля к своему Instagram-аккаунту. Дело в том, что когда пользователь вводит свой номер телефона для возобновления доступа к профилю, Instagram отправляет ему шестизначный цифровой код, который необходимо ввести для подтверждения личности.
Лаксман Мутийя решил, что если он сможет попробовать миллион разных кодов на этом этапе, то один совершенно точно подойдет, что приведет к смене пароля у любого Instagram-аккаунта.
Тем не менее, эксперт справедливо решил, что у фотосервиса наверняка будет установлена защита против такой атаки «в лоб».
Действительно, Instagram ограничивал количество запросов на смену, которые может отправить пользователь. Тогда путем расчетов Мутийя установил, что для успешного взлома ему понадобится 5 тыс. IP-адресов, каждый из которых отправит 200 тыс. запросов. По словам хакера, это не так сложно осуществить, если воспользоваться облачным сервисом Google или Amazon. При этом вся атака обойдется злоумышленнику в $150.
Свои изыскания Лаксман Мутийя направил администрации Facebook, которая убедилась в небезопасности существующей системы. Как следует из письма, отправленного руководством социальной сети, уязвимость в Instagram была устранена, а сам Мутийя получил $30 тыс. вознаграждения в качестве «bug bounty» — компенсации за выявленные недостатки.
Также эксперт дал несколько советов тем, кто пользуется Instagram, чтобы защитить себя и свои данные.
Он рекомендует регулярно менять свой пароль, использовать только уникальные и разнообразные комбинации, а также обязательно пользоваться двухфакторной идентификацией, чтобы любые манипуляции с аккаунтом совершались только с одобрения юзера.
В мае текущего года стало известно о массовой утечке персональной информации блогеров и знаменитостей из Instagram — всего в общей сложности от нее пострадали около 50 млн человек. В интернете была обнаружена база данных, содержащая в себе данные миллионов Instagram-звезд, пользующихся популярным фотохостингом, сообщил портал TechCrunch. Эта база, расположенная в публичном облаке Amazon Web Services, находилась в открытом доступе и была доступна всем желающим.
Как оказалось, в каждой из записей содержались персональные данные Instagram-блогеров и инфлюэнсеров, включая их биографию, фото профиля, количество фолловеров, геолокацию, а также электронную почту и номер мобильного телефона.
Вскоре после того, как об утечке заговорили в зарубежной прессе, база данных ушла в оффлайн, а Facebook объявила о начале собственного расследования.
«Мы проведем расследование, чтобы понять, откуда данные, включая электронные адреса и номера телефонов, попали в сеть — из Instagram или других источников. Мы также свяжемся с Chtrbox [компанией, допустившей утечку], чтобы выяснить, откуда у них эта информация и как она оказалась в открытом доступе», — говорится в официальном заявлении Facebook.
В июне руководство Instagram сообщило об упрощении процедуры восстановления аккаунта после хакерского взлома. Новая система задаст пользователю ряд вопросов, которые смогут подтвердить его личность, например, изначальный электронный адрес (если хакер его сменил) или номер телефона. Затем юзер получит шестизначный код для восстановления аккаунта.
Этот метод поможет вернуть профиль владельцу, даже если злоумышленники поменяют все контактные данные на новые, чтобы усложнить восстановление.
Известие было с энтузиазмом встречено пользователями Instagram, которые не раз жаловались на невозможность оперативного возвращения аккаунта, так как служба поддержки сервиса сильно перегружена подобными запросами.