Phát hiện lỗi bảo mật lớn trên Instagram cho phép hacker đánh cắp tài khoản bất kỳ

Chia sẻ
Một nhà nghiên cứu bảo mật đã tìm được một lỗ hổng để qua mặt hệ thống xác thực của Instagram, cho phép truy cập vào bất kỳ tài khoản nào.

Phát hiện lỗi bảo mật lớn trên Instagram cho phép hacker đánh cắp tài khoản bất kỳ ảnh 1
Anh ta đã đưa lỗi này lên blog của mình, giải thích cách tìm được lỗ hổng cho phép hack bất kỳ tài khoản nào. Ban đầu anh ta đã thử kiểm tra giao diện web của Instagram để tìm lỗ hổng nhưng kết quả là không có. Sau đó, anh bắt đầu lại công việc trên ứng dụng mạng xã hội này.

Giống như những ứng dụng khác, Instagram gửi mã OTP gồm sáu chữ số để đặt lại mật khẩu khi người dùng bị quên mật khẩu. Laxman Muthiyah quyết định đào sâu vào cách xử lý của hệ thống bằng cách thực hiện một cuộc tấn công, điều này cũng giúp anh ta phát hiện ra Instagram không hoàn toàn đưa vào danh sách đen những địa chỉ IP dùng cho việc tấn công . Sau đó, Muthiyah đã khai thác vấn đề này bằng cách viết một script chuyển đổi giữa các địa chỉ IP.

Phát hiện lỗi bảo mật lớn trên Instagram cho phép hacker đánh cắp tài khoản bất kỳ ảnh 2
Anh ta đã tiếp cận lỗ hổng này bằng phương thức Race Hazard - tình trạng của một hệ thống hoạt động sai khi nhận nhiều yêu cầu cùng một lúc và IP rotation. Muthiyah cũng cho biết anh ta đã sử dụng 1000 IP khác nhau trong các bài kiểm tra của mình để gửi 200.000 yêu cầu. Dưới đây là video chứng minh cho việc này.

Anh cũng cho biết trong các cuộc tấn công thực sự, hacker sẽ cần khoảng 5000 IP có thể dễ dàng thuê từ các nhà cung cấp dịch vụ đám mây như Amazon hoặc Google với giá dưới 150 USD. Sau vụ việc này, Facebook đã thừa nhận lỗ hổng và thưởng cho Laxman Muthiyah với số tiền 30000 USD.

May mắn thay, lỗi này đã được phát hiện bởi một nhà nghiên cứu bảo mật. Nếu lỗ hổng được tìm thấy và khai thác bởi một hacker mũ đen thì đã khiến cho tính riêng tư của toàn bộ mạng xã hội này bị đe dọa.

Bảo Phương

Tin liên quan

Chia sẻ

Bạn đọc bình luận

Vui lòng nhập tiếng Việt có dấu
Nhập mã bảo mật (*)    Refresh

Cùng chuyên mục