خلاصه: نقص روی سرویس محبوب اینستاگرام موجب میشود تا هکرها بتوانند در کمتر از ۱۰ دقیقه به حساب کاربری قربانی دست پیدا کنند. اینستاگرام برای کشف این باگ جایزه ۳۰ هزار دلاری پرداخت نموده است.
فیسبوک به تازگی وصلهای امنیتی متعلق به سرویس اشتراک گذاری عکس خود منتشر کرده است. این آسیب پذیری بحرانی که روی سرویس محبوب اینستاگرام وجود داشته، این امکان را به هکرها میدهد تا بدون هیچ تبادل درخواست و پاسخی با کاربران هدف، به حساب اینستاگرام آنها دسترسی پیدا کنند.
در حال حاضر برخی از این آسیبپذیریها برطرف شده است و برخی دیگر نیز در حال رفع میباشند. احتمال میرود که مواردی دیگر هنوز در این سرویس وجود داشته باشند که هنوز کشف نشدهاند.
جزئیات یک چنین آسیب پذیری بحرانی اینستاگرام، در اینترنت منتشر شده است که می توانسد به مهاجم از راه دور اجازه بازنشانی رمز عبور را برای هر حساب کاربری دهد و به دنبال آن به تمام مشخصات عمومی و پروفایل کاربر هدف دسترسی یابد و بر آن کنترل کامل داشته باشد.
این آسیب پذیری در مکانیزم بازیابی رمز عبور یافت شده و روی نسخه تلفن همراه اینستاگرام قابل اجرا است.
"بازنشانی رمز عبور" یا "بازیابی رمز عبور" یک ویژگی است که به کاربران اجازه میدهد در صورتی که گذرواژه خود را فراموش کردهاند، دسترسی به حساب خود را بر روی وب سایت دوباره بدست آوردند.
دراینستاگرام کاربران باید یک کد رمز مخفی شش رقمی، که ده دقیقه پس از ارسال منقضی میشود، که از طرف اینستاگرام به شماره تلفن همراه یا ایمیل کاربر ارسال میشود، را وارد کنند تا احراز هویت خود را تایید نمایند. این بدان معنا است که یک ترکیب از یک ملیون ترکیب موجود میتواند به عنوان تایید کننده هویت فرد بکار رود. اما این به همین سادگی نیست و اینستاگرام در مقابل چنین سناریوهایی سعی کرده است مقابله کند.
با این حال، متخصصان دریافتهاند که میتوان با کارهایی نظیر درخواستهای مکرر از آدرس آیپیهای گوناگون و استفاده از شرایط خاص رقابتی و ارسال همزمان درخواستهای پشت سر هم به منظور انجام تلاشهای چندگانه مکرر، اینستاگرام را دور زده و به یک حساب وارد شوند. آنها با موفقیت نشان دادهاند که میتوان با سواستفاده از آسیبپذیری یاد شده برای کنترل بر حسابهای اینستاگرامی، با امتحان کردن ۲۰۰۰۰۰ ترکیب مختلف از این ۶ رقم ممکن ( تست۲۰% ترکیبهای ممکن) در عین مسدود نشدن، حمله موفقی داشته باشند.
برای محافظت از حسابهای خود در برابر چنین نوع حملات آنلاینی و همچنین کاهش شانس برای درگیر شدن با چنین حملاتی که مهاجمان به صورت مستقیم آسیب پذیری های اپلیکیشن ها را هدف قرار می دهد، توصیه می شود تا کاربران قابلیت احراز اصالت دوعاملی را در حسابهای کاربری خود فعال نمایند. با این کار میتوان مانع از نفوذ به حساب کاربری، حتی در صورت دسترسی به کلمه عبور شد.
