Profesyonel bir bilgisayar korsanı, herhangi bir Instagram hesabının kontrolünü ele geçirmek için oldukça basit bir yol keşfetti. Neyse ki hacker, 500 milyon günlük aktif kullanıcısı için Instagram’a bunun tam olarak nasıl yapılabileceğini anlattı.

Laxman Muthiyah , profesyonel bir ödül avcısı. Bilgisayar sistemlerindeki hataları bulmak için yeteneklerini hack becerilerini kullanıyor. Şirketleri yazılımlarındaki güvenlik açıklarını bulup bildiriyor ve bu şekilde para kazanıyor.

Muthiyah, herhangi bir Instagram hesabını, hesap sahibinin herhangi bir etkileşimi olmadan ele geçirebilecek bir hata keşfetti.

Güvenlik açığı, Instagram’ın mobil sürümünde şifre yenilerken ortaya çıktı. Bir kullanıcı şifresini sıfırlamak istediğinde Instagram, kurtarma telefon numarasına 6 basamaklı bir kod göndererek kullanıcının kimliğini doğrulamaya çalışıyor.

Altı basamaklı kod, herhangi bir miktarda bilgi işlem gücüne sahip bilgisayar korsanı için çocuk oyuncağı. Bu nedenle Instagram’ın bu tarz saldırıları tespit edebilen bir sistemi vardır. Muthiyah, 1000 girişimin yaklaşık % 75’inin engellendiğini buldu.

Farklı IP adreslerinden fazla sayıda istek göndererek bu sistemi aşabildiğini fark eden Laxman, 200.000 kodu (yani tüm ihtimallerin %20’si) saniyeler içerisinde engellenmeden denedi.

The Hacker News’a röportaj veren Laxman, “Gerçek bir saldırı senaryosunda hackerın bir hesabı hacklemesi için 5.000 tane IP adresine ihtiyacı var. Başta kulağa büyük bir sayı gibi gelse de Amazon ya da Google gibi bir bulut hizmet sağlayıcısı kullanıyorsanız yalnızca 150 dolara bir milyon kodu deneyebilirsiniz” dedi.

Laxman, hatayı Instagram’a bildirdi ve 30 bin dolar değerinde para ödülünün de sahibi oldu.

Paylaş