보안 분석가가 다음에서 취약점을 발견했습니다. 인스타그램 계정 복구 프로세스 그에게 테스트 계정에 대한 액세스 권한을 부여했습니다.
Έ보안 분석가가 Instagram 계정 복구 프로세스에서 많은 계정을 위험에 빠뜨릴 수 있는 버그를 발견했습니다.
분석가 Laxman Muthiyah는 암호를 잊어버린 후 응용 프로그램을 통해 계정에 다시 액세스할 수 있는 방법을 조사하는 동안 오류를 발견했습니다. 인증을 위해 Instagram은 SMS를 통해 사용자의 전화로 임의의 XNUMX자리 번호를 보내 계정에 액세스할 수 있도록 합니다.
연구원은 기술을 사용할 수 있는지 궁금해했습니다."브 루트 포스"시스템을 우회하기 위해. 이 방법에서는 올바른 조합을 찾을 때까지 수천 개의 무작위 조합이 입력됩니다. 이 경우 트릭이 작동했지만 전체 프로세스를 상당히 복잡하게 만드는 특정 상황이 있습니다.
더 구체적으로 말하면 Instagram은 이러한 코드를 입력하는 데 제한이 있습니다. 따라서 250분 기간 내에 IP 주소당 XNUMX번의 시도 제한이 있습니다.
XNUMX자리 코드를 추측하려면 약 백만 가지 조합을 시도해야 합니다. 이 숫자는 단순한 사용자로부터 시스템을 안전하게 유지하기에 충분합니다. 그러나 Mutiyah는 프로세스를 자동화하는 방법을 찾았습니다. 프로그램을 작성하면 서로 다른 IP 주소 목록에서 엄청난 양의 무작위 조합을 가져올 수 있습니다.
Muthiyah는 테스트 계정을 해킹하려는 200.000개의 다른 조합을 보내는 공격 동영상을 업로드했습니다. "실제 공격에서 공격자는 계정을 해킹하기 위해 약 5.000개의 IP가 필요합니다. 큰 숫자처럼 들릴지 모르지만 실제로는 어렵지 않습니다. 아마존이나 구글의 클라우드 서비스를 이용하면 150만 개의 비밀번호를 완전 공격하는 데 XNUMX달러 정도가 든다”고 말했다. 그는 관련 기사에서 블로그.
좋은 소식은 Instagram이 문제를 해결했다는 것입니다. Mythiyah는 PCMag에 응용 프로그램이 이제 IP 주소에 관계없이 사용자가 입력할 수 있는 암호 수를 차단한다고 말했습니다.
이메일에서 Instagram은 PCMag에 다음과 같이 말했습니다. "문제를 수정했으며 악용을 찾지 못했습니다. 문제를 식별하는 데 도움을 준 분석가에게 감사합니다." 인스타그램을 소유하고 있는 페이스북은 버그크라우드를 통해 버그를 발견한 것에 대해 보상하는 프로그램을 가지고 있으며, 버그크라우드는 그의 발견에 대해 Muthiyah에게 $30.000를 기부했습니다.
[the_ad_group id =”966 ″]Μ다음 버튼으로 매우 쉽게 할 수 있는 포럼에 가입(등록)하는 것을 잊지 마십시오…
(이미 포럼에 계정이 있는 경우 등록 링크를 따라갈 필요가 없습니다.)
텔레그램에서 팔로우하세요!
