Το Instagram είναι ένα δίκτυο, το οποίο έχει παρουσιάσει αρκετές ευπάθειες στο παρελθόν, και πολύ είναι οι ερευνητές οι οποίοι εντόπισαν τρόπους παραβίασης λογαριασμών στη δημοφιλή πλατφόρμα.

Πρόσφατα, ένας ερευνητής με το όνομα Arne Swinnen ανακάλυψε δύο ακόμη vulnerabilities στο σύστημα αυθεντικοποίησης του Instagram. Συγκεκριμένα, χρησιμοποιόντας μια brute force επίθεση, κατάφερε να παραβιάσει την ασφάλεια πολλών λογαριασμών, δίχως πολύ κόπο. Αυτό, σύμφωνα με τον Swinnen, οφείλεται στο γεγονός της όχι καλής τακτικής του Instagram με τους κωδικούς των χρηστών του, αλλά και στο τρόπο με τον οποίο χειρίζεται τα usernames.

O Swinnen, ανακάλυψε πως θα μπορούσε να πραγματοποιήσει μια brute force επίθεση χρησιμοποιώντας το API για το Android authentictaion, εξαιτίας φτωχών μέτρων ασφαλείας.

Βάση ενός blog post που έκανε, ισχυρίζεται πως το API για τις πρώτες 1000 προσπάθειες εμφανίζει το μήνυμα: “password you entered is incorrect” , ενώ για τις επόμενες 1000: “username not found” – κάποιος είδος περιορισμού του αριθμού που μπορεί να εμφανιστεί ένα μήνυμα error.

instagram-hacking

Ο bug hunter όμως, συνέχισε με υπομονή και ανέπτυξε ένα script με το οποίο δοκίμασε 10001 κωδικούς στο ίδιο account, με μόνο περιορισμό πως έπρεπε να γίνουν δύο δοκιμές για επαλήθευση των στοιχείων, για να υπάρξει ένας σωστός συνδυασμός.

Mάλιστα, το χειρότερο κομμάτι ανέρχεται στο γεγονός, πως ενώ χρησιμοποίησε μια brute force μέθοδο, και κανονικά το IP από το οποίο πήγαζε η επίθεση θα έπρεπε να μην μπορεί να έχει πρόσβαση πια στο login panel, ή ακόμα και στον ίδιο τον ιστότοπο, όχι μόνο δεν μπλοκαρίστηκε, αλλά επετράπη και η σύνδεση στους παραβιασμένους λογαριασμούς μέσω αυτού, γεγονός που αποκαλύπτει την μετριότητα του συστήματος ασφαλείας του Instagram.

Ο ίδιος ερευνητής, ανακάλυψε επίσης έναν ακόμα πιο εύκολο τρόπο για την παραβίαση της ασφάλειας του Instagram.

Στην ιστoσελίδα του Instagram, χρησιμοποίησε το registration page για να δημιουργήσει ένα test account έτσι ώστε να μπορεί να διεξάγει το pentesting. Την ώρα που έκανε εγγραφή, κατέγραψε το HTTP request που έστειλε ο browser του στο σύστημα του Instagram, και κατόπιν ξαναέστειλε το ίδιο request, δίχως όμως το password και το username. Το Instagram όμως απάντησε πως τα συγκεκριμένα credentials ανήκουν ήδη σε χρήστη του Instagram.

Καθώς όμως δεν υπήρχε όριο προσπαθειών, ο ερευνητής απέστειλε 10.000 ίδια requests έως ότου να στείλει το σωστό (δηλαδή, με τα κανονικά διαπιστευτήρια).

Το Facebook, πλήρωσε τον ερευνητή το συνολικό ποσό των $5,000 και διόρθωσε τις ατέλειες του συστήματος ασφαλείας του Instagram.

Είναι λοιπόν χρυσός κανόνας, πως τα sites τα οποία σέβονται την ασφάλεια των χρηστών τους, χρησιμοποιούν καλές τεχνικές όσον αφορά τη δύναμη των password, αλλά και τον τρόπο με τον οποίο αυτά τα διαχειρίζονται.

Πηγή

 

ΑΦΗΣΤΕ ΕΝΑ ΣΧΟΛΙΟ