Программист получил 30 тысяч долларов за взлом Instagram

Программист получил 30 тысяч долларов за взлом Instagram

«Привет, Лаксман Мутийя,
Ознакомившись с твоим отчётом, мы приняли решение присудить тебе вознаграждение в размере 30 тысяч долларов США. Ниже приводится объяснение суммы награды. Facebook выплачивает свои награды при помощи Bugcrowd (краудсорсинговая орuанизация независимых экспертов и исследователей в области кибербезопасности – прим. авт.).
Ты определил сценарий учетной записи, в котором злоумышленник может обойти ограничение скорости на конечной точке, используемой для проверки кодов восстановления, запрошенных в процессе восстановления мобильной учётной записи Instagram.
Ещё раз благодарим тебя за твоё сообщение. Надеемся получать больше отчётов от тебя в будущем!», - говорится в ответном письме службы безопасности Facebook (См. фото выше. Credits: photo by L. Muthiyah, www.thezerohack.com).

Специалист по кибербезопасности Лаксман Мутийя (Laxman Muthiyah) рассказал, как он смог отыскать слабое место в популярной соцсети и взломать один из аккаунтов Instagram всего лишь за 10 минут. Сотрудники службы безопасности Facebook (компания является владельцем Intsgram) устранили проблему защиты благодаря этой хакерской атаке и выписали взломщику чек с внушительной суммой 30 тысяч долларов США в рамках специальной программы вознаграждений.

Полагаю, многие из вас лично, или как минимум ваши знакомые, хоть раз сталкивались с проблемой «угона» аккаунта или его временного захвата хакерами. Ваши фотографии и записи ежедневно могут стать жертвой киберворов с коммерческими, а порой и вовсе непонятными целями. Потеря такого приватного содержимого – весьма неприятный опыт для любого пользователя, даже весьма скептически относящегося к самой идее соцсетей.

Как известно, компания Facebook (FB) дорожит своей репутацией и пытается охранять право своих пользователей на личную жизнь, защищая их контент в любой из своих сетей. Служба безопасности компании постоянно ведёт работу, чтобы повышать уровень надёжности на всех принадлежащих корпорации платформах. В рамках этой работы, недавно Facebook повысила ставки – компания увеличила сумму вознаграждения за выявление любых критических уязвимостей системы, в том числе за кражу учётных записей.

«Поэтому я решил испытать удачу в Facebook и Instagram. К счастью, мне удалось найти её в Instagram», - рассказывает программист Лаксман Мутийя в своём блоге Zero Hack.

Первое, что пришло в голову хакеру при поиске слабого места в системе – форма Instagram для восстановления пароля пользователя (если он забыт владельцем). Чтобы захватить аккаунт, взломщик сначала попытался сбросить пароль в веб-интерфейсе  Instagram. Однако, здесь он встретил преграду: довольно сильным, по словам программиста, оказался механизм сброса пароля, базирующийся на основе ссылок. По истечении нескольких минут тестирования Лаксман так и не смог обнаружить никаких «лазеек».

Затем программист решил переключиться на процесс восстановления пароля через мобильный телефон. О чудо - в мобильной версии платформы хакеру удалось нащупать слабое место защиты! Механизм восстановления доступа здесь такой: забывший пароль пользователь вводит свой номер телефона, куда ему направляется шестизначный код, который нужно ввести в окошко в браузере и затем изменить старый пароль. Теоретически, если попробовать ввести каждый из миллиона возможных кодов на конечной точке кода подтверждения, можно будет заменить пароль любой учётной записи.

«Но я был абсолютно уверен, что должно быть какое-то ограничение скорости против таких атак грубой силой. Я решил протестировать это», - пояснил специалист.

Дальнейшие попытки Лаксмана выявили наличие ограничения скорости: из 1000 отправленных им запросов прошли лишь 250, остальные три четверти были ограничены по скорости. Затем он попробовал ещё 1000 запросов, но на этот раз подавляющее большинство получило ограниченную скорость. Таким образом стало ясно, что системы безопасности FB проверяют и корректно ограничивают запросы на сброс пароля.

Были и пара моментов, которые поразили хакера: возможное число запросов и отсутствие чёрного списка.

«Я мог отправлять запросы непрерывно, не блокируясь, хотя количество запросов, которые я могу отправить за короткий промежуток времени, ограничено», - отмечает Лаксман. После нескольких дней непрерывного тестирования ему, наконец, удалось обнаружить две вещи, которые позволили обойти механизм ограничения скорости.

Хакер сообщил о найденной уязвимости в службу безопасности Facebook, но специалисты компании не смогли сразу воспроизвести и проверить ошибку из-за недостатка информации в его отчёте. Программист продолжил настаивать на своём. После нескольких писем и неопровержимого доказательства в форме видеозаписи концепции взлома «учётки» он смог убедить сотрудников компании, что атака совершенно реальна. По словам взломщика, для кражи любого аккаунта его способом злоумышленникам потребуется 5 тысяч IP-адресов. На первый взгляд, звучит трудновыполнимо, но на деле это довольно легко осуществимо, если использовать провайдера облачных услуг, например Google или Amazon. Полноценная атака с миллионом кодов обошлась бы мошенникам примерно в 150 долларов.

Чтобы доказать свою успешную атаку на учётую запись Instagram, Лаксман предоставил команде безопасности Facebook вышеупомянутое видео, на котором была запечатлена отправка 200 тысяч действительных запросов. Решение проблемы не заставило ждать – сотрудники компании мгновенно отреагировали на проблему и устранили существующую уязвимость, а также приняли справедливое решение поощрить хакера-добровольца за его исследование.

«Я благодарю команду безопасности Facebook за то, что наградили меня в рамках их специальной программы!», - не скрывает своей радости Мутийя.


Оценить статью
(0)
Добавить комментарий
Получать ответы на почту
Получать ответы на почту