באג ב-Instagram מאפשר השתלטות על החשבון האישי

באמצעות ריבוי כתובות IP, ניתן לנחש את קוד השיחזור

באג ב-Instagram (אינסטגרם) אשר באמצעותו ניתן להשתלט על חשבון של מישהו אחר באמצעות הפעלת איפוס סיסמה.

בקשת קוד שיחזור וניסיון מהיר של כל קוד שיחזור אפשרי כנגד החשבון התגלה על ידי חוקר אבטחת המידע לקסמן מותי'אה אשר צד אחר באגים.

מהבדיקות שערך, עלה כי ניתן לנסות כ-200 קודים שונים של שחזור סיסמה לפני שנחסמים ושרתי אינסטגרם לא יאפשרו ניחושים נוספים.

קוד השיחזור הינו בעל שש ספרות, כך שקיימים מיליון צירופים אפשריים. קוד השיחזור נבחר באופן אקראי,

פריצה לאינסטגרם

כך שכל קוד אפשרי ולא ניתן לבחור צירופים פופולאריים כדי לנסות אותם בניסיונות הראשונים. בעת ניחוש הקוד,

יש צורך לעבוד מהר ולא ניתן לקחת את הזמן, זאת בגלל שכל קוד תקף ל-10 דקות בלבד.

גם אם לא היתה מגבלה של 200 קודים שניתן לנסות לפני חסימה, ב-10 דקות ניתן להזין 1000 אפשרויות מתוך כ-1,000,000 והקוד יפוג תוקף.

החוקר תהה האם החסימה היא למספר ניסיונות לאותו החשבון, או למספר הניסיונות מאותו המחשב,

כלומר, אם היו לו 201 מחשבים שונים עם מספרי IP שונים וכל מחשב עשה ניסיון אחד, מה יגרום לחסימת הניסיון ה-200?

לא ניתן לפרוץ כך את כל החשבונות

או, אם היו לו 201 מחשבים וכל אחד מהם מנסה 200 צירופים, האם זה שווה ל-40,200 ניחושים שונים?

בכדי לענות על השאלות, הוא ניסה עם 1,000 כתובות IP שונות והצליח לבצע 200,000 ניחושים מבלי להיחסם.

כשמעבירים זאת למספרים גדולים יותר, כל מי שיהיה בעל 5,000 כתובות IP יוכל לנסות מיליון צירופים של קודים ב-10 דקות

וכך בוודאות לנחש את הקוד הנכון. החוקר מעריך כי ניתן לבצע מתקפה שכזו באמצעות שירותי ענן של אמזון או גוגל בעלות של כ-150$,

ואמנם לא ניתן לפרוץ כך את כל החשבונות, אבל באופן יחסי ניתן לפרוץ חשבון אינסטגרם של מישהו שנבחר בצורה קלה וזולה.

פייסבוק הסכימו כי אכן מדובר ביותר מאשר סיכון תיאורטי ואף שילמו לחוקר כ-30,000$ וטיפלו בנושא ככל הנראה באמצעות

הגבלת קצב השימוש בקודים של שיחזור על בסיס חשבון מותקף ולא על ניסיונות ניחוש של צד אחר.

 

דילוג לתוכן