Специалист в области кибербезопасности Лэксман Мутийя нашел способ, как взломать Instagram за 10 минут, причем для этого нужно всего лишь приобрести сервис за 150 долларов.
Мутийя использовал уязвимость в механизме восстановления пароля через почту. При потере доступа к аккаунту, пользователь от сервиса получает на электронную почту шестизначный код. Хакер предположил, что если перебрать 1 млн вариантов, то можно взломать чужой аккаунт.
Но как оказалось разработчики предусмотрели такой вариант, но они учли не все.
Мутийя направил 1000 запросов на восстановление пароля, но из них были приняты только 250. После этого хакер добавил ротацию IP-адресов, и это сработало, а система приняла все запросы.
Тут стоит отметить, что код восстановления действует всего 10 минут, и чтобы уложится в этот временной отрезок, потребовалось задействовать 1000 IP-адресов и сделать 200 000 запросов.
В итоге Лэксман Мутийя посчитал, что у если приобрести у облачного провайдера пять тысяч виртуальных машин с уникальными IP-адресами, то можно взломать Instagram, причем на аренду облачной машины нужно всего 150 долларов.
Своей находкой специалист поделился с разработчиками Instagram, и в итоге они за найденную уязвимость перечислили ему 30 тыс. долларов.