اخیراً یک آسیبپذیری بحرانی در اینستاگرام کشف شد که براساس آن هر هکری میتواند بدون اطلاع کاربر، بهطور کامل به اطلاعات یک حساب کاربری، دست پیدا کند. لاکشمن ماتیا (Laxman Muthiyah)، کارشناس امنیتی هندی، این نقص را به سرویس اشتراک عکس در فیسبوک گزارش داد.
به گفته ماتیا، نقض مذکور بر مکانیسم تنظیم رمز عبور اجرا شده بهوسیله اینستاگرام برای تلفن همراه اثر میگذارد. وقتی کاربران اینستاگرام رمزهای عبور خود را درخواست بازیابی میکنند، باید یک رمز مخفی ۶ رقمی را که پس از ۱۰ دقیقه منقضی میشود تأیید کنند که برای شماره تلفن همراه یا آدرس ایمیل آنها ارسال شدهاست. این بدان معنی است که برای تغییر کلمات عبور، مهاجمان باید یکمیلیون ترکیب را امتحان کنند.
کارشناس هندی آزمایش خود را روی حداکثر تعداد درخواستها متمرکز کرد؛ وی توانست بهطور مداوم بدون مسدود شدن و هنگام رسیدن به حداکثر تعداد درخواستها در یک لحظه، موارد را ارسال کند.
ماتیا در تجزیه و تحلیل خود نوشت: وقتی کاربر شماره تلفن همراه خود را وارد میکند، مهاجمان یک رمزعبور ۶ رقمی به تلفن همراه او میفرستند. آنها باید رمز را برای تغییر وارد کنند. بنابراین اگر ما بتوانیم تمام یک میلیون کد را در نقطه پایانی تأیید امتحان کنیم، میتوانیم رمزعبور هر کاربری را تغییر دهیم. اما من اطمینان دارم که باید در مقابله با چنین حملاتی، محدودیتهایی نیز وجود داشته باشند. من تصمیم گرفتم آن را آزمایش کنم. دو چیزی که ذهن انسان را مشغول میکند، تعداد درخواستها و نبود فهرست سیاه بود.
او در نهایت دو چیز را کشف کرد که اجازه عبور از مکانیسم محدود کردن سرعت، موقعیت و چرخش آدرس آیپی را میداد.
کارشناس هندی توضیح داد: ارسال درخواستهای همزمان با استفاده از چندین آیپی به من اجازه فرستادن تعداد زیادی درخواست بدون محدودیت را داد. تعداد درخواستهایی که میتوان ارسال کرد، به همزمانی درخواستها و تعداد آیپیها استفاده بستگی دارد. همچنین، متوجه شدم که کد منقضی در ۱۰ دقیقه، باعث میشود حمله سختتر شود و بنابراین ما برای حمله به هزاران آیپی نیاز داریم.
خلاصه کردن محدودیت نرخ میتواند با مقابله با حملات از آدرس آیپیهای مختلف و استفاده از شرایط و ارسال درخواستهای همزمان عبور کند.
ماتیا همچنین ویدئویی از حمله منتشر کرد که استفاده از این نقص هنگام هک حساب کاربری اینستاگرام به کمک ۲۰۰ هزار ترکیب رمزعبور مختلف بدون مسدود شدن را نشان میداد. لاکشمن ماتیا به عنوان بخشی از برنامه جایزه ۳۰ هزار دلاری دریافت کرد.