В Instagram найден очередной баг, позволяющий взламывать аккаунты

Олег Иванов 27 Августа 2019 - 08:35

...

В Instagram найден очередной баг, позволяющий взламывать аккаунты

Индийский исследователь Лаксман Матия получил от Facebook $10 000 за обнаружение очередной критической уязвимости, которой могли воспользоваться киберпреступники для взлома Instagram-аккаунтов.

Матия нашёл брешь в процессе анализа системы восстановления паролей для мобильных устройств. Напомним, что для восстановления учетных данных пользователь должен в течение 10 минут ввести шестизначный код, который высылают ему на смартфон.

Несмотря на то, что разработчики Instagram приняли защитные меры, чтобы предотвратить брутфорс этого кода, Матия нашёл способ провести атаку.

Эксперт выяснил, что идентификатор, генерируемый приложением Instagram для каждого устройства случайным образом, включён в запрос на восстановление пароля. Этот ID устройства используется для проверки шестизначного кода.

Исследователь обратил внимание, что один идентификатор можно использовать в процессе запроса кодов восстановления для множества аккаунтов. Это значит, что при достаточном количестве запросов злоумышленник мог бы вычислить корректный код восстановления.

«Существует миллион комбинаций такого шестизначного кода (от 000001 до 999999). Когда мы запрашиваем код для нескольких пользователей, мы увеличиваем шансы успешного взлома учетной записи», — объясняет Матия.

«Для примера: если вы отправите запрос кода для ста тысяч пользователей, используя один идентификатор, у вас будет 10-процентная вероятность взлома. А если мы запросим коды восстановления для миллиона юзеров, мы сможем скомпрометировать аккаунты со 100% вероятностью».

Facebook согласился с тем, что уязвимость явилась следствием недостаточно защищённого механизма восстановления пароля. Интернет-гигант выплатил Матия десять тысяч долларов.

Напомним, что на днях киберпреступники запустили новую фишинговую кампанию, на этот раз под прицелом пользователи социальной сети Instagram. При этом злоумышленники используют не только фейковые поля ввода логина и пароля, но и задействуют в схеме коды двухфакторной аутентификации (2FA).

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Яков Шпунт 26 Января 2026 - 10:52

Ошибки конфигурации программ Домашние пользователи

Российские пользователи не могут обновить встроенное ПО бытовой техники

Российские пользователи «умной» бытовой техники — в основном европейских брендов — всё чаще сталкиваются с серьёзными проблемами при обновлении встроенного программного обеспечения. В ряде случаев такие устройства вообще не могут полноценно работать без подключения к фирменным облачным сервисам и мобильным приложениям, которые в России оказываются недоступны.

О ситуации сообщил телеграм-канал БОРЩ со ссылкой на сообщения пользователей из тематических чатов и социальных сетей.

Причём речь идёт далеко не о бюджетных устройствах. Проблемы затрагивают дорогие модели стиральных и посудомоечных машин, роботы-пылесосы, водогрейные котлы и другую технику с «умными» функциями, управление которой завязано на мобильные приложения.

Среди наиболее частых жалоб — невозможность обновить прошивку или отсутствие фирменных приложений в официальных магазинах Apple и Google. Один из пользователей, владелец посудомоечной машины Bosch, рассказал, что даже установка приложения через APK-файл или российский магазин не решает проблему: зарегистрировать и активировать его из России не удаётся.

Фактически пользователям приходится запускать приложение с подменой IP-адреса на европейский и создавать фиктивный аккаунт жителя другой страны. При этом из-за особенностей работы такого ПО регистрация и авторизация часто проходят не с первого раза.

Проблемы возникают и с техникой российских брендов. Так, владелец «умного» чайника Polaris сумел стабилизировать работу прошивки, вручную указав в настройках роутера российский сервер. При попытке подключиться к зарубежным ресурсам устройство «зависало» и переставало корректно работать.

В некоторых случаях сбои носят спорадический характер. Например, пользователь водогрейного котла Ariston даже обратился с жалобой в Роскомнадзор после того, как оборудование перестало подключаться к облачному серверу. В регуляторе заявили о своей непричастности, однако спустя некоторое время проблемы исчезли сами собой.

«Санкции ударили туда, куда не ожидал никто», — резюмируют авторы канала БОРЩ.

При этом эксперты отмечают, что куда более серьёзную опасность может представлять использование «умных» устройств для сбора данных — в том числе как одна из форм санкционного давления.