Хакер взломал Instagram за 10 минут и за проделанную работу получил $30 тыс. от Facebook, владеющей соцсетью.
Исследователь в области кибербезопасности Лаксман Мутийя нашел уязвимость в системе восстановления пароля в Instagram. Эта уязвимость позволяет получить доступ к любому аккаунту в соцсети.
По словам Мутийи, у Instagram защищенный механизм сброса пароля, из-за чего эксперту пришлось переключиться на мобильный процесс восстановления. Когда пользователь вводит свой номер телефона, ему на устройство направляется шестизначный код, который он должен ввести для смены пароля.
Лаксман Мутийя попробовал отправить миллион кодов, чтобы угадать комбинацию, однако системы Instagram проверяют и ограничивают запросы. Мутийя мог отправлять их непрерывно, но их количество строго определено.
Как выяснилось, для взлома любого аккаунта в Instagram понадобится пять тысяч IP-адресов, с которых должен быть отправлен один миллион запросов. По словам Мутийя, ресурсы для такой атаки возможно приобрести за 150 долларов.
Эксперт предупредил компанию Facebook о найденной им уязвимости. Facebook прислал специалисту ответ, в котором сообщил о том, что исправил уязвимость, и отправил ему 30 тысяч долларов в качестве награды.