Лаксман Мутия (Laxman Muthiya) – исследователь в области безопасности, недавно обнаруживший, что он может взломать чей-либо Instagram без необходимости их согласия. Обученный хакер не использовал эту информацию в своих интересах. Вместо этого Лаксман Мутия отправил подробности об уязвимости в кибербезопасности Facebook и он был награжден 30 000 долларов за его честность.
Facebook У него есть программа поощрений, в которой поощряются те, кто обнаруживает и сообщает о любых проблемах, обнаруженных в элементах управления безопасностью. Facebook, Согласно Muthiya, известная социальная медиа-компания недавно увеличила сумму, которую она платит в качестве вознаграждения за обнаружение уязвимостей, классифицированных как критические, таких как приобретение учетных записей. Вот почему эксперт по кибербезопасности решил попытать счастья.
Лаксман Мутия попробовал разные подходы, чтобы обойти механизм паролей в Instagram. Однако механизм сброса пароля на основе ссылок был слишком надежным и не мог найти в нем никаких ошибок. Тем не менее, это продолжалось, пока он не обнаружил мобильный процесс восстановления. Он пишет в своем блоге: «Когда пользователь вводит номер своего мобильного телефона, на его номер будет отправлен шестизначный код доступа. Они должны ввести его, чтобы изменить свой пароль. Поэтому, если мы сможем протестировать все миллионы кодов в конечной точке проверки кода, мы сможем изменить пароль для любой учетной записи ».
Лаксман Мутия, однако, предполагал, что против таких атак будет установлено ограничение скорости. В течение следующих двух дней он проверил свою теорию и узнал, что, используя условия карьеры и ошибку ротации IP-адресов, он смог изменить чей-либо пароль и получить доступ к их учетным записям. Facebook Первоначально он не мог воспроизвести ошибку, которая позволила Мутии получить доступ к чьему-либо аккаунту. Только после того, как он предоставил им более подробную информацию, используя свое проверенное видео, Facebook смог воспроизвести ошибку.
Для такой настоящей кибератаки хакер должен будет использовать 5000 IP для взлома аккаунта. Однако Мутия говорит: «Это звучит замечательно, но это действительно легко, если вы используете поставщика облачных услуг, такого как Amazon или Google. Выполнение полной атаки на миллион кода будет стоить около 150 долларов.
Facebook исправил ошибку и заплатил Лаксману Мутии $ 30K за его усилия.
