Исследователь обнаружил, что Instagram уязвим перед обычным брутфорсом

Александр Панасенко 21 Мая 2016 - 00:06

...

Исследователь обнаружил, что Instagram уязвим перед обычным брутфорсом

Бельгиец Арне Свиннен (Arne Swinnen) обнаружил сразу две опасные уязвимости в Instagram. Обе проблемы позволяли осуществить брутфорс-атаку на подбор пароля. Один баг был найден в приложении Instagram для Android, а второй скрывался на странице регистрации instagram.com.

Первую уязвимость исследователь обнаружил еще в декабре 2015 года. Свиннен выяснил, что официальное Android-приложение Instagram допускает 1000 попыток аутентификации с одного IP-адреса и лишь после этого отображает сообщение «введенное имя пользователя не относится к данному аккаунту». Однако после двухтысячной попытки этот ответ исчезает, и система возвращает начинает чередовать один reliable response (верен пароль или неверен) и один unreliable response (неправильное имя пользователя), сообщает xakep.ru.

Свиннен пишет, что атакующему достаточно создать простой скрипт, который будет обращаться к приложению вплоть до получения reliable response. Сам исследователь такой proof-of-concept написал и протестировал с его помощью перебор 10 000 паролей для тестового аккаунта. Более того, атакующий может войти в скомпрометированный в ходе такой атаки акканут с того же самого IP-адреса, который только что использовался для брутфорса. То есть никаких дополнительных мер защиты у Instagram попросту нет.

Вторую уязвимость Свиннен обнаружил в феврале 2016 года, на сайте Instagram. Исследователь зарегистрировал тестовый аккаунт в социальной сети, а затем перехватил запрос, отправленный при регистрации на сервер Instagram. Когда он попробовал воспроизвести этот запрос, зарегистрировав еще один аккаунт, в ответ ему пришло сообщение: «Эти учетные данные принадлежат активному аккаунту Instagram».

Так как никаких ограничений нет, атакующему достаточно написать скрипт, который будет отправлять серверу Instagram бесконечные запросы и перебирать различные комбинации логинов и паролей. Как только совпадение будет найдено, сервер сообщит, что данные принадлежат активному аккаунту.

Facebook, которая владеет Instagram, уже устранила обе проблемы. Также Свиннен сообщает, что политика создания паролей в Instagram претерпела небольшие изменения, и теперь нельзя использовать самые простые и глупые варианты, вроде «password» или «123456».

За свои находки Свиннен получил $5000 по программе bug bounty, и это не первый раз, когда исследователь удостоился вознаграждения от социальной сети. В марте 2016 года Свиннен уже находил проблемы в Instagram, которые вообще позволяли перехватить контроль над чужой учетной записью. Тогда исследователь тоже заработал $5000.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 18:41

GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации UserGate

97% компаний в России внедряют ИИ, но 54% не видят его ценности

UserGate изучила, как российские компании внедряют инструменты на базе ИИ и что мешает делать это быстрее. Опрос прошёл в январе 2026 года, в нём участвовали 335 топ-менеджеров компаний с выручкой от 100 млн рублей в год. Картина получилась довольно показательная: 97% компаний уже используют ИИ, тестируют его в пилотах или собираются внедрять в ближайшее время.

То есть искусственный интеллект из разряда «модного тренда» окончательно перешёл в категорию рабочих инструментов.

Чаще всего ИИ применяют для вполне прикладных задач. На первом месте — генерация отчётов и аналитики (42%). Далее идут оптимизация сетевой инфраструктуры (38%), анализ больших массивов логов (37%), ускорение расследований инцидентов (35%) и повышение эффективности Help Desk (32%).

Иными словами, бизнес в первую очередь использует ИИ там, где он помогает сэкономить время и ресурсы или усилить функции безопасности.

Интересно, что приоритеты зависят от масштаба компании. В корпоративном сегменте более 60% респондентов указали анализ больших логов как ключевое направление — что логично при объёмах данных в крупных ИТ-ландшафтах. В среднем бизнесе на первый план выходит оптимизация сетевой инфраструктуры (45%).

При этом 7% компаний пока вообще не рассматривают внедрение ИИ. Главные причины — неясная ценность технологии (54%) и неопределённость рисков (38%). Также среди барьеров называют отсутствие чёткого распределения ответственности (29%), ограниченные бюджеты (29%) и нехватку экспертизы (17%). По сути, речь идёт не столько о скепсисе, сколько о нехватке понимания, как именно внедрять ИИ и как управлять связанными с ним рисками.

Отдельно респондентов спросили, какие технологии окажут наибольшее влияние на кибербезопасность в ближайшие 12 месяцев. Лидером стали ИИ и машинное обучение — их назвали около половины представителей коммерческого и государственного сегментов. Даже те компании, которые пока осторожничают с практическим внедрением, всё равно рассматривают машинное обучение как ключевой фактор трансформации ИБ в среднесрочной перспективе.

Как отмечает руководитель отдела стратегической аналитики UserGate Юлия Косова, бизнес уже активно использует ИИ в операционных и защитных сценариях, но ожидания рынка зачастую опережают текущую практику. Дальнейший эффект, по её словам, будет зависеть от зрелости процессов, качества данных и способности управлять рисками.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »