Në këtë artikull do të tregoj se si kam gjetur një problem në Instagram, që më lejoi të hakeroja çdo llogari. Skuadra e sigurisë në Facebook dhe Instagram e rregulloi çështjen dhe më shpërbleu $30 000.
Facebook po punon vazhdimisht për të përmirësuar kontrollet e sigurisë në të gjitha platformat e tyre. Ata, kohët e fundit kanë rritur pagesat e shpërblimeve për të gjitha problemet kritike, duke përfshirë hakimet e llogarive. Kështu, vendosa të provoj fatin tim në Facebook dhe Instagram. Për fat të mirë, munda të gjej një problem të tillë në Instagram.
U përpoqa të ndryshoja fjalëkalimin tim në website-in e Instagram-it. Ata kanë një mekanizëm të ndryshimit të fjalëkalimit të bazuar në një link, i cili është shumë i fortë dhe nuk mund të gjeja ndonjë gabim në të.
Pastaj hyra në aplikacionin mobile, ku isha në gjendje të dalloja diçka të dyshimtë. Kur një përdorues shkruan numrin e tij / saj të telefonit mobil, atij i dërgohet një kod me gjashtë shifra në numrin mobile. Ata duhet të hyjnë në të për të ndryshuar fjalëkalimin e tyre. Pra, nëse ne jemi në gjendje të provojmë të gjitha kodet e mundshme të verifikimit (një milion), ne do të ishim në gjendje të ndryshonim fjalëkalimin e çdo llogarie. Por unë isha shumë i sigurt se duhet të ketë një normë të kufizuar kundër sulmeve të tilla brutale. Dhe vendosa t’a provoj.
Testet e mia treguan praninë e kufizimit të normave. Dërgova rreth 1000 kërkesa, 250 prej tyre kaluan dhe 750 kërkesat tjerë u kufizuan. E provova me 1000 kërkesa të tjera dhe tani shumë prej tyre u kufizuan.
Dy gjëra të rëndësishme që i vura re ishin numri i kërkesave dhe mungesa e listës së zezë. Unë isha në gjendje të dërgoja kërkesa vazhdimisht pa u kufizuar edhe pse numri i kërkesave që mund të dërgoja në një kohë të caktuar ishte i kufizuar.
Pas disa ditësh testimi, gjeta dy gjëra që më lejuan të hakeroja mekanizmin e kufizimit të tyre.
- Gjendjen e Rrezikut (Race Hazard) dhe
- Rotacionin IP.
Për të kuptuar se çfarë është Gjendja e rrezikut, ju lutemi klikoni këtu. Dërgimi i kërkesave të njëkohshme duke përdorur IP të shumta më mundësojë që të dërgoj një numër të madh kërkesash pa u kufizuar. Numri i kërkesave që mund të dërgojmë varet nga numri i IP-ve që përdorim. Gjithashtu, kuptova se kodi skadon për 10 minuta dhe e bën sulmin më të vështirë, prandaj ne kemi nevojë për 1000 IP-ja për të kryer sulmin.
Unë i kam përdorur 1000 pajisje të ndryshme dhe IP për të dërguar 200 mijë kërkesa (që është 20 për qind e gjithsej një milion probabiliteti) në testet e mia.
Në një sulm kibernetik në jetën reale, hakeri ka nevojë për 5000 IP për të hakuar një llogari. Kjo tingëllon e madhe, por është e lehtë nëse përdorni një ofrues të shërbimit cloud si Amazon ose Google. Do të kushtonte vetëm 150 dollarë për të kryer një sulm të plotë të një milion kodeve.
Dërgimi i 200 mijë kërkesave
Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Kjo punë që e bëjmë me shumë dashuri nuk ka të paguar. Ne jemi platforma e vetme e cila promovon modelin pozitiv të sipërmarrjes së lirë. Përmes kësaj platforme mbështesim edukimin gjatë gjithë jetës si mjet për zhvillimin personal dhe profesional të brezave. Kontributi juaj do të na ndihmojë në vazhdimin e këtij misioni në gjithë trevat shqipfolëse.
Mund të kontribuoni KETU. Falemnderit.