В Instagram найден очередной баг, позволяющий взламывать аккаунты

В Instagram найден очередной баг, позволяющий взламывать аккаунты

Индийский исследователь Лаксман Матия получил от Facebook $10 000 за обнаружение очередной критической уязвимости, которой могли воспользоваться киберпреступники для взлома Instagram-аккаунтов.

Матия нашёл брешь в процессе анализа системы восстановления паролей для мобильных устройств. Напомним, что для восстановления учетных данных пользователь должен в течение 10 минут ввести шестизначный код, который высылают ему на смартфон.

Несмотря на то, что разработчики Instagram приняли защитные меры, чтобы предотвратить брутфорс этого кода, Матия нашёл способ провести атаку.

Эксперт выяснил, что идентификатор, генерируемый приложением Instagram для каждого устройства случайным образом, включён в запрос на восстановление пароля. Этот ID устройства используется для проверки шестизначного кода.

Исследователь обратил внимание, что один идентификатор можно использовать в процессе запроса кодов восстановления для множества аккаунтов. Это значит, что при достаточном количестве запросов злоумышленник мог бы вычислить корректный код восстановления.

«Существует миллион комбинаций такого шестизначного кода (от 000001 до 999999). Когда мы запрашиваем код для нескольких пользователей, мы увеличиваем шансы успешного взлома учетной записи», — объясняет Матия.

«Для примера: если вы отправите запрос кода для ста тысяч пользователей, используя один идентификатор, у вас будет 10-процентная вероятность взлома. А если мы запросим коды восстановления для миллиона юзеров, мы сможем скомпрометировать аккаунты со 100% вероятностью».

Facebook согласился с тем, что уязвимость явилась следствием недостаточно защищённого механизма восстановления пароля. Интернет-гигант выплатил Матия десять тысяч долларов.

Напомним, что на днях киберпреступники запустили новую фишинговую кампанию, на этот раз под прицелом пользователи социальной сети Instagram. При этом злоумышленники используют не только фейковые поля ввода логина и пароля, но и задействуют в схеме коды двухфакторной аутентификации (2FA).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обострение борьбы на рынке SIEM: эксперт Group-IB перешёл в RuSIEM

Компания «Русием» представляет нового технического директора —  Антона Фишмана, ведущего эксперта по информационной безопасности, ИТ-технологиям и разработке систем.

Антон с отличием окончил Академию «РАНХиГС» по специальности «Компьютерные технологии в бизнесе».  В период с 2006 по 2015 работал в крупных компаниях и организациях, таких как Систематика, ВСС и Росреестр, занимаясь проектами по разработке систем автоматизации, построению систем безопасности и созданию ИТ-инфраструктуры. В 2015-2017 гг. занимал пост директора по информационным технологиям и проектному бизнесу в компании Incity (Incity,Deseo). С 2017 по 2020 год являлся руководителем департамента системных решений компании Group-IB.

 «Моя основная задача в компании RuSIEM, — говорит Антон Фишман, — усиление команды проектирования и разработки, а также развитие продукта с учетом самых перспективных технологических трендов и наиболее значимых вызовов рынка информационной безопасности. Совершенствование аналитических инструментов, использование современных технологий выявления аномалий, предиктивная аналитика, удобный интерфейс с функционалом оркестрации и реагирования на инциденты и Threat Hunting-а — вот основа для построения SOC-ов нового поколения, а следовательно, и современных SIEM-систем».

Новый технический директор уверен, что система RuSIEM обладает огромным технологическим и коммерческим потенциалом, и планирует вместе со своей командой вывести это программное решение в лидеры отечественного рынка и выйти на рынки Европы и Азии.

Основатель компании RuSiem Максим Степнченков приветствовал решение Антона Фишмана присоединиться к команде разработки:

«С Антоном мы знакомы давно, на мой взгляд, это один из ведущих визионеров рынка ИБ, авторитетнейший эксперт по безопасности и прекрасный командный игрок. Нисколько не сомневаюсь, что его опыт даст серьезный толчок развитию продукта».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru