Hệ thống xác thực trên Instagram có thể bị qua mặt dễ dàng
Thông tin được đưa ra bởi chuyên gia bảo mật Laxman Muthiyah cảnh báo về lỗ hổng bảo mật nghiêm trọng trên Instagram, cho phép tin tặc tấn công và kiểm soát hoàn toàn tài khoản người dùng mà không cần được cấp quyền.
Cụ thể, lỗ hổng bảo mật nằm trong cơ chế khôi phục mật khẩu được thực hiện bởi phiên bản di động của Instagram.
Khi sử dụng Instagram, người dùng phải xác nhận mật mã bí mật gồm sáu chữ số (hết hạn sau 10 phút) gửi đến số điện thoại di động hoặc tài khoản email được liên kết của họ để chứng minh danh tính. Tuy nhiên, đây cũng chính là kẽ hở mà tin tặc dựa vào để tấn công tài khoản thông qua cách sử dụng Brute force attack cho dù Instagram cũng nhận thức được nguy cơ này nên đã đưa ra kích hoạt giới hạn về lượng yêu cầu nhất định trong 1 khoảng thời gian.
Tuy nhiên, đó là Instagram nghĩ sẽ an toàn khi đưa ra giới hạn tỷ lệ (rate limiting). Laxman Muthiyah đã tìm ra cách lách bằng cách đưa ra yêu cầu Brute force từ nhiều địa chỉ IP khác nhau khiến hệ thống phải đồng thời xử lý nhiều yêu cầu một lúc.
Laxman Muthiyah đã thành công với thử nghiệm khi sử dụng 1000 IP khác nhau trong các bài kiểm tra của mình để gửi 200.000 yêu cầu, qua đó chiếm đoạt được tài khoản Instagram dễ dàng.
Trước những cảnh báo rất rõ ràng của Laxman Muthiyah, Facebook (Công ty hiện đang quản lý Instagram) đã lên tiếng thừa nhận lỗ hổng bảo mật trên đồng thời đưa ra bản vá cho Instagram. Cùng với đó là số tiền thưởng 30.000 USD dành cho Laxman Muthiyah.