Специалист в сфере кибербезопасности Лаксман Мутийя нашел уязвимость, которая позволяет получить доступ к любому аккаунту социальной сети Instagram менее, чем за 10 минут. Об этом он рассказал в своем блоге Zero Hack.
Хакер воспользовался недоработкой в системе восстановления пароля. Так, после запроса о смене пароля на телефон или электронную почту приходят коды для подтверждения личность. Мутийя выяснил, что в случае, если отправить миллион кодов, то один из них будет верным. Чтобы обойти ограничение на количество запросов пароля хакер попробовал запросить коды с тысячи IP-адресов, с них он которых отправил 200 тысяч запросов в течение 10 минут. Именно за это время истекает срок действия отправленного пользователю кода.
О результатах эксперимента исследователь кибербезопасности рассказал компании Facebook, которая владеет Instagram. После чего компания устранила ошибку и выплатила хакеру вознаграждение в размере 30 тысяч долларов.