مرکز تخصصی آپا
امکان دسترسی به حساب میلیونهای کاربر اینستاگرام به دلیل ضعف امنیتی
خلاصه: یک ضعف امنیتی در بازیابی رمز عبور اینستاگرام امکان دسترسی به حساب افراد مختلف را فراهم مینمود. این آسیبپذیری به اینستاگرام گزارش شده و برطرف شده است. محقق امنیتی که این ضعف را کشف نموده نیز ده هزار دلار جایزه دریافت نموده است.
یک محقق امنیتی که توانسته بود ماه پیش یک نقص امنیتی در اینستاگرام پیدا کرده و به وسیله آن اینستاگرام را هک کند، به تازگی نقصی دیگر در ساختار بازیابی رمز این شبکه اجتماعی پیدا کرده که با استفاده از آن میتوان هر حسابی را هک کرد.
هنگامی که کاربر درخواست بازیابی رمز عبور برای سرور ارسال میکند، همراه با درخواست کاربر، یک شناسه تصادفی به نام DeviceID همراه درخواست فرستاده میشود. پس از آن سرور یک ایمیل با یک کدرمز شش رقمی برای کاربر ارسال میکند. پس از اینکه کاربر این کد را در برنامه وارد کرد، این کد و شناسه DeviceID برای سرور فرستاده میشود و سرور با بررسی کدرمز و DeviceID اصالت کاربر را تایید میکند.
همانطور که گفته شد DeviceID یک شناسه اتفاقی است که به وسیله اپلیکیشن انتخاب میشود، ولی چه اتفاقی میافتد اگر یک DeviceID برای بازیابی رمز چندین حساب استفاده شود؟
یک میلیون احتمال برای انتخاب کدرمز شش رقمی وجود دارد (000001-999999). هنگامی که درخواست بازیابی رمز برای چندین حساب فرستاده میشود، احتمال هک حسابها بالا میرود. مثلا اگر برای صدهزار حساب درخواست بازیابیرمز با یک DeviceID ارسال شود، احتمال موفقیت ده درصد است، چون صدهزار کدرمز به یک DeviceID متصل شده است. اگر تعداد درخواستها به یک میلیون برسد، میتوان تمام یک میلیون حساب را با اضافه کردن یک به یک کد رمز هک کرد. بنابراین با یک میلیون تعداد درخواست، مهاجم میتواند به موفقیت صددرصدی برسد.
هر چند در این حمله هک باید در ده دقیقه انجام شود، زیرا در ساختار بازیابی رمز اینستاگرام، تاریخ انقضای درخواست ده دقیقه است و اگر پس از آن کدرمز فرستاده شود، درخواست پذیرفته نمیشود. اما اینکار به دشواری که به نظر میرسد نیست و میتوان به راحتی از چندین نمونه ماشین ابری مجزا استفاده کرد.
پس از ارسال این نقص به مدیران اینستاگرام، هماکنون این نقص به وسیله تیم امنیتی اینستاگرام حل شده است و محقق امنیتی که این مساله را کشف نموده نیز جایزه دههزار دلاری برای این گزارش دریافت کرده است.
