Уязвимость в Instagram позволяла взломать 20 млн учетных записей
24.05.2016
Консультант по безопасности Арне Свиннен (Arne Swinnen) обнаружил уязвимости в системе авторизации Instagram. По словам эксперта, отсутствие контроля аутентификации совместно с уязвимостью, позволяющей сослаться на прямой объект в памяти, могли позволить преступникам взломать порядка 4% существующих учетных записей (приблизительно 20 млн). Проблема безопасности заключалась в системе временной блокировки учетной записи.
Во время проверки безопасности Свиннен обнаружил, что формы верификации учетных записей могут различаться. В некоторых формах не было обнаружено уязвимости, в то время как другие позволяли злоумышленнику получить доступ к учетной записи. По мнению эксперта, к 39 тыс. из всех аккаунтов можно было получить доступ, изменив соответствующий учетной записи номер телефона пользователя. Помимо этого, хакер потенциально мог поменять адрес электронной почты 1700 пользователей.
По словам Свиннена, злоумышленник мог получить доступ к личной информации пользователя (номеру телефона), а также легко изменить номер телефона в учетной записи Instagram. После ввода нового номера хакер мог воспользоваться функцией изменения пароля через SMS и получить полный доступ к аккаунту.
Владелец Instagram компания Facebook исправила уязвимость в течение нескольких дней после ее обнаружения и заплатила Свиннену $5 тыс. премии.
