Podatności w serwisie Instagram pozwalały przejąć miliony kont

24 maja 2016, 12:44
Fot. Glenn3095/Flickr.com

Belgijski ekspert od cyberbezpieczeństwa Arnie Swinnen odkrył podatności w serwisie Instagram, które pozwoliłyby hakerom bez większego problemu przejąć kontrolę nad milionami kont użytkowników. Swinnen zgłosił swoje uwagi do Facebooka, który jest właścicielem również tego serwisu społecznościowego. Firma Zuckerberga poprawiła już podatności w swoich systemach, ale zajęło jej to aż pół roku.

Pierwsza luka dotyczyła aplikacji Instagram na androida. Hakerzy mogli z łatwością korzystać z faktu, że nazwy użytkowników serwisu są powszechnie dostępne i skatalogowane. Aby uzyskać hasła dostępu do ogromnej ilości kont, wystarczy wykorzystać metodę tzw. brute- force attack (algorytm komputerowy generuje losowe kombinacje znaków, aż natrafi na to właściwe, dające dostęp do konta). Jest to możliwe ze względu na niskie zabezpieczenia popularnej platformy. Instagram wymaga od swoich użytkowników hasła zawierającego jedynie sześciu znaków w nieskomplikowanym ciągu. Wiele osób wybiera najprostszy zestaw „123456”, co oczywiście naraża ich na atak.

Podobna podatność dotyczyła panelu do logowania się na stronie internetowej Instagram.

Facebook naprawił już błędy wskazane przez eksperta, ale firma potrzebowała aż pół roku, żeby uporać się z problemem. Swinnen pierwsze zgłoszenie o podatności wysłał w grudniu 2015 r. ale kolejne kroki podejmowane przez przedsiębiorstwo nie rozwiązywały sprawy. Co gorsza, Instagram wciąż nie wprowadził dwu – stopniowej identyfikacji, co postulował ekspert. Wzmocniłoby to dostęp do kont użytkowników.

Swinnen za swoją pracę odebrał nagrodę w wysokości 5 tys. dolarów. To coraz powszechniejsza praktyka, by internetowi giganci wypłacali nagrody za wykryte podatności. Na początku miesiąca głośny był przypadek 10- latka z Helsinek, który również za znalezienie luk w Instagramie otrzymał od internetowego giganta 10 tys. dol.

Czytaj też: Strony oparte na CMS są podatne na ataki

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24