Instagram Flaw kunde ha lÄtit hackare bryta sig in pÄ ditt konto

Instagram Flaw kunde ha lÄtit hackare bryta sig in pÄ ditt konto

En sÀkerhetsforskare avslöjade ett fel i Instagrams kontoÄterstÀllningsprocess som kunde ha anvÀnts för att bryta in pÄ mÀnniskors konton.

Forskare Laxman Muthiyah hittade felet nÀr han undersökte hur appen för sociala medier lÄter dig fÄ tillbaka Ätkomst till ditt konto om du har glömt ditt lösenord. För att bevisa din identitet kan Instagram skicka en sexsiffrig slumpmÀssig kod till din smartphone via SMS. Du blir sedan ombedd att mata in siffrorna i appen.

Muthiyah undrade om nĂ„gon kunde “rĂ„ka tvinga” processen genom att ange ett stort antal kombinationer för att försöka gissa rĂ€tt kod. Som det visar sig kan du under vissa förhĂ„llanden.

Instagram har vissa begrÀnsningar för inmatning av koder i kontoÄterstÀllningsprocessen. De inkluderar hastighetsbegrÀnsande antal gissningar till 250 per IP-adress. Gissningarna mÄste ocksÄ göras inom ett tio minuters fönster.

Att rÀkna ut en sexsiffrig kod betyder att det finns en miljon olika totalkombinationer att prova. Det Àr alldeles för mÄnga för att nÄgon mÀnniska ska lÀgga in. Muthiyah fann emellertid att han kunde automatisera en brute-force attack mot Instagram via dess API. Han gjorde detta genom att skriva ett programmeringsskript för att samtidigt lÀgga in ett stort antal gissningar över en roterande lista med IP-adresser.

Muthiyah laddade upp en video som visade attacken, som visar honom skicka 200 000 gissningar för att bryta sig in pĂ„ ett Instagram-testkonto. “I ett riktigt attackscenario behöver angriparen 5000 IP-adresser för att hacka ett konto. Det lĂ„ter stort, men det Ă€r faktiskt enkelt om du anvĂ€nder en molntjĂ€nstleverantör som Amazon eller Google. Det skulle kosta cirka $ 150 att utföra den fullstĂ€ndiga attacken pĂ„ en miljon koder, “skrev han i sitt blogginlĂ€gg.

Den goda nyheten Ă€r att Instagram har fixat felet. Muthiyah sa till PCMag att appen nu blockerar antalet gissningar av lösenord du kan skicka, Ă€ven nĂ€r du anvĂ€nder flera IP-adresser. “DĂ€rför kan man inte skicka alla möjligheter inom tio minuter”, sa han i en chatt via Facebook Messenger.

I ett e-postmeddelande sa Instagram till PCMag: “Vi har Ă„tgĂ€rdat problemet och hittat inga bevis för missbruk. Vi Ă€r tacksamma till forskaren för hans hjĂ€lp med att identifiera problemet.” Appens förĂ€lder, Facebook, har ett bug bounty-program genom Bugcrowd, som tilldelade Muthiyah $ 30 000 för att hitta sĂ„rbarheten.