В Instagram найден очередной баг, позволяющий взламывать аккаунты

В Instagram найден очередной баг, позволяющий взламывать аккаунты

В Instagram найден очередной баг, позволяющий взламывать аккаунты

Индийский исследователь Лаксман Матия получил от Facebook $10 000 за обнаружение очередной критической уязвимости, которой могли воспользоваться киберпреступники для взлома Instagram-аккаунтов.

Матия нашёл брешь в процессе анализа системы восстановления паролей для мобильных устройств. Напомним, что для восстановления учетных данных пользователь должен в течение 10 минут ввести шестизначный код, который высылают ему на смартфон.

Несмотря на то, что разработчики Instagram приняли защитные меры, чтобы предотвратить брутфорс этого кода, Матия нашёл способ провести атаку.

Эксперт выяснил, что идентификатор, генерируемый приложением Instagram для каждого устройства случайным образом, включён в запрос на восстановление пароля. Этот ID устройства используется для проверки шестизначного кода.

Исследователь обратил внимание, что один идентификатор можно использовать в процессе запроса кодов восстановления для множества аккаунтов. Это значит, что при достаточном количестве запросов злоумышленник мог бы вычислить корректный код восстановления.

«Существует миллион комбинаций такого шестизначного кода (от 000001 до 999999). Когда мы запрашиваем код для нескольких пользователей, мы увеличиваем шансы успешного взлома учетной записи», — объясняет Матия.

«Для примера: если вы отправите запрос кода для ста тысяч пользователей, используя один идентификатор, у вас будет 10-процентная вероятность взлома. А если мы запросим коды восстановления для миллиона юзеров, мы сможем скомпрометировать аккаунты со 100% вероятностью».

Facebook согласился с тем, что уязвимость явилась следствием недостаточно защищённого механизма восстановления пароля. Интернет-гигант выплатил Матия десять тысяч долларов.

Напомним, что на днях киберпреступники запустили новую фишинговую кампанию, на этот раз под прицелом пользователи социальной сети Instagram. При этом злоумышленники используют не только фейковые поля ввода логина и пароля, но и задействуют в схеме коды двухфакторной аутентификации (2FA).

Windows 11 незаметно съедала десятки гигабайт, Microsoft признала баг

Microsoft подтвердила неприятный баг в Windows 11: стандартный компонент системы Capability Access Manager мог незаметно раздувать служебный файл и занимать огромный объём дискового пространства. Пользователи жаловались на странное поведение системы уже несколько месяцев.

В одном из случаев файл CapabilityAccessManager.db-wal разросся примерно до 70 ГБ. Место на диске исчезало не из-за игр, видео или забытых архивов, а из-за штатной службы Windows.

Проблему одним из первых подробно описал пользователь Дональд Гибсон на официальном форуме поддержки Microsoft. По его словам, служба CapabilityAccessManager внезапно начала занимать десятки гигабайт, а поддержка компании сначала не смогла объяснить, что происходит. Позже похожие жалобы начали появляться и у других пользователей.

Теперь Microsoft официально признала проблему и добавила соответствующий пункт в описание обновления KB5095093 для Windows 11 версий 24H2 и 25H2. В компании сообщили, что апдейт улучшает использование дискового пространства для файла CapabilityAccessManager.db-wal.

Проще говоря, после установки обновления Windows 11 должна перестать бесконтрольно отъедать место на накопителе из-за этого компонента.

Заодно в KB5095093 добавили еще одно изменение: Проводник должен быстрее реагировать при подключении образов дисков. Правда, эта функция распространяется постепенно, поэтому появится не у всех сразу. Также Microsoft заменила поставщика GIF в панели эмодзи Windows: вместо Tenor теперь используется GIPHY.

Если на системном диске Windows 11 внезапно пропали десятки гигабайт, стоит проверить наличие обновления KB5095093. Похоже, в этот раз виноват не пользователь, не мусорные файлы и не загадочная папка Downloads, а сама операционная система.

RSS: Новости на портале Anti-Malware.ru