Instagramda akkauntlarni buzishga imkon beruvchi yana bir xatolik topildi

Matiya mobil qurilmalar uchun parollarni tiklash tizimini tahlil qilish jarayonidagi xatolikni topdi.
Eslatib o'tamiz, hisob ma'lumotlarini tiklash uchun foydalanuvchi 10 daqiqada oltita raqamli kodni kiritishi kerak, u unga smartfon orqali yuboriladi.
Instagram ishlab chiquvchilari ushbu kodni echishning oldini olish uchun himoya choralarini ko'rishganiga qaramay,
Matiya hujumni amalga oshirish uchun mavjud yo'lni topdi. Mutaxassis har bir qurilma uchun Instagram ilovasida yaratilgan identifikator tasodifiy ravishda parolni tiklash so'roviga kiritilganligini aniqladi.
Ushbu qurilma identifikatori olti raqamli kodni tekshirish uchun ishlatiladi. Tadqiqotchining ta'kidlashicha, bir nechta akkauntlar uchun tiklash kodini so'rash jarayonida bitta identifikatordan foydalanish mumkin.
Bu shuni anglatadiki, etarli miqdordagi so'rovlar bilan tajovuzkor to'g'ri tiklash kodini to'g'ri hisoblay oladi. "Bunday oltita raqamli kodning million kombinatsiyasi mavjud (000001 dan 999999 gacha).
Bir nechta foydalanuvchilar uchun kod so'ralganda, biz hisob qaydnomalarini muvaffaqiyatli buzish ehtimolini oshiramiz ", - deya tushuntiradi Matiya.
«Masalan: bitta identifikatordan foydalangan holda yuz ming foydalanuvchiga kod so'rovini yuborsangiz, sizda 10 foiz buzish ehtimoli bo'ladi.
Lekin biz million foydalanuvchini tiklash kodlarini so'rasak, 100% ehtimollik bilan akkauntlarni buzishimiz mumkin.
"Facebook zaiflik parolni tiklashning xavfli mexanizmining natijasi ekanligini tan oldi. Internet giganti Matiyaga o'n ming dollar to'ladi.
Eslatib o'tamiz, yaqinda kiber jinoyatchilar yangi "fishing" kampaniyasini boshladilar, bu safar ular Instagram ijtimoiy tarmog'i foydalanuvchilarini nishonga olmoqdalar.
Bu bilan tajovuzkorlar nafaqat soxta kirish va parollarni kiritish maydonlaridan foydalanadilar, balki sxemada ikki faktorli autentifikatsiya kodlarini xam (2FA) ishlatadilar.

Manbaa: https://www.anti-malware.ru/news/2019-08-27-1447/30571