Эксперт получил от Facebook $30 тыс. за взлом Instagram

По словам Мутийя, у Instagram достаточно защищённый механизм сброса пароля, основанный на ссылках, из-за чего специалист переключился на мобильный процесс восстановления. Когда пользователь вводит свой номер телефона, ему на устройство направляется шестизначный код, который он должен ввести, чтобы изменить пароль.

Специалист решил попробовать отправить миллион кодов, чтобы угадать комбинацию, но столкнулся с тем, что системы Instagram проверяют и корректно ограничивают запросы. Мутийя мог отправлять их непрерывно, не блокируясь, но их количество за короткий промежуток времени строго определено.

«Белый» хакер использовал тысячу IP-адресов, и ему удалось отправил более 200 тысяч запросов (20% от одного миллион) в течение десяти минут, чтобы обойти ограничение. Как отметил исследователь, во время реальной атаки злоумышленнику понадобится 5000 IP-адресов для взлома учетной записи. Вся операция может обойтись примерно в $150.

Ранее News.ru рассказал, что злоумышленники могут использовать вредоносное программное обеспечение для получения доступа к медиафайлам мессенджеров WhatsApp и Telegram.