Në këtë artikull do të tregoj se si kam gjetur një problem në Instagram, që më lejoi të hakeroja çdo llogari. Skuadra e sigurisë në Facebook dhe Instagram e rregulloi çështjen dhe më shpërbleu $30 000.
Facebook po punon vazhdimisht për të përmirësuar kontrollet e sigurisë në të gjitha platformat e tyre. Ata, kohët e fundit kanë rritur pagesat e shpërblimeve për të gjitha problemet kritike, duke përfshirë hakimet e llogarive. Kështu, vendosa të provoj fatin tim në Facebook dhe Instagram. Për fat të mirë, munda të gjej një problem të tillë në Instagram.
U përpoqa të ndryshoja fjalëkalimin tim në website-in e Instagram-it. Ata kanë një mekanizëm të ndryshimit të fjalëkalimit të bazuar në një link, i cili është shumë i fortë dhe nuk mund të gjeja ndonjë gabim në të.
Pastaj hyra në aplikacionin mobile, ku isha në gjendje të dalloja diçka të dyshimtë. Kur një përdorues shkruan numrin e tij / saj të telefonit mobil, atij i dërgohet një kod me gjashtë shifra në numrin mobile. Ata duhet të hyjnë në të për të ndryshuar fjalëkalimin e tyre. Pra, nëse ne jemi në gjendje të provojmë të gjitha kodet e mundshme të verifikimit (një milion), ne do të ishim në gjendje të ndryshonim fjalëkalimin e çdo llogarie. Por unë isha shumë i sigurt se duhet të ketë një normë të kufizuar kundër sulmeve të tilla brutale. Dhe vendosa t’a provoj.
Testet e mia treguan praninë e kufizimit të normave. Dërgova rreth 1000 kërkesa, 250 prej tyre kaluan dhe 750 kërkesat tjerë u kufizuan. E provova me 1000 kërkesa të tjera dhe tani shumë prej tyre u kufizuan.
Dy gjëra të rëndësishme që i vura re ishin numri i kërkesave dhe mungesa e listës së zezë. Unë isha në gjendje të dërgoja kërkesa vazhdimisht pa u kufizuar edhe pse numri i kërkesave që mund të dërgoja në një kohë të caktuar ishte i kufizuar.
Pas disa ditësh testimi, gjeta dy gjëra që më lejuan të hakeroja mekanizmin e kufizimit të tyre.
- Gjendjen e Rrezikut (Race Hazard) dhe
- Rotacionin IP.
Për të kuptuar se çfarë është Gjendja e rrezikut, ju lutemi klikoni këtu. Dërgimi i kërkesave të njëkohshme duke përdorur IP të shumta më mundësojë që të dërgoj një numër të madh kërkesash pa u kufizuar. Numri i kërkesave që mund të dërgojmë varet nga numri i IP-ve që përdorim. Gjithashtu, kuptova se kodi skadon për 10 minuta dhe e bën sulmin më të vështirë, prandaj ne kemi nevojë për 1000 IP-ja për të kryer sulmin.
Unë i kam përdorur 1000 pajisje të ndryshme dhe IP për të dërguar 200 mijë kërkesa (që është 20 për qind e gjithsej një milion probabiliteti) në testet e mia.
Në një sulm kibernetik në jetën reale, hakeri ka nevojë për 5000 IP për të hakuar një llogari. Kjo tingëllon e madhe, por është e lehtë nëse përdorni një ofrues të shërbimit cloud si Amazon ose Google. Do të kushtonte vetëm 150 dollarë për të kryer një sulm të plotë të një milion kodeve.
Dërgimi i 200 mijë kërkesave
Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Mbështetja juaj na ndihmon ta vazhdojmë këtë mision.
Na Suporto
