Si kam mundur ta hakoj çdo llogari në Instagram » Business Magazine Albania – Media Dixhitale dedikuar Sipërmarrjes
Përditësuar së fundmi: 19/07/2019

Si kam mundur ta hakoj çdo llogari në Instagram

Share
nga Eridon Elshani
Kor 19, 2019
-Manages Business Mag Kosovo -Studies Philosophy at University of Prishtina
lexo me teper >

Nga Laxman Muthiyah, autor në Zerohack

Në këtë artikull do të tregoj se si kam gjetur një problem në Instagram, që më lejoi të hakeroja çdo llogari. Skuadra e sigurisë në Facebook dhe Instagram e rregulloi çështjen dhe më shpërbleu $30 000.

Facebook po punon vazhdimisht për të përmirësuar kontrollet e sigurisë në të gjitha platformat e tyre. Ata, kohët e fundit kanë rritur pagesat e shpërblimeve për të gjitha problemet kritike, duke përfshirë hakimet e llogarive. Kështu, vendosa të provoj fatin tim në Facebook dhe Instagram. Për fat të mirë, munda të gjej një problem të tillë në Instagram.

U përpoqa të ndryshoja fjalëkalimin tim në website-in e Instagram-it. Ata kanë një mekanizëm të ndryshimit të fjalëkalimit të bazuar në një link, i cili është shumë i fortë dhe nuk mund të gjeja ndonjë gabim në të.

Pastaj hyra në aplikacionin mobile, ku isha në gjendje të dalloja diçka të dyshimtë. Kur një përdorues shkruan numrin e tij / saj të telefonit mobil, atij i dërgohet një kod me gjashtë shifra në numrin mobile. Ata duhet të hyjnë në të për të ndryshuar fjalëkalimin e tyre. Pra, nëse ne jemi në gjendje të provojmë të gjitha kodet e mundshme të verifikimit (një milion), ne do të ishim në gjendje të ndryshonim fjalëkalimin e çdo llogarie. Por unë isha shumë i sigurt se duhet të ketë një normë të kufizuar kundër sulmeve të tilla brutale. Dhe vendosa t’a provoj.

Testet e mia treguan praninë e kufizimit të normave. Dërgova rreth 1000 kërkesa, 250 prej tyre kaluan dhe 750 kërkesat tjerë u kufizuan. E provova me 1000 kërkesa të tjera dhe tani shumë prej tyre u kufizuan.

Dy gjëra të rëndësishme që i vura re ishin numri i kërkesave dhe mungesa e listës së zezë. Unë isha në gjendje të dërgoja kërkesa vazhdimisht pa u kufizuar edhe pse numri i kërkesave që mund të dërgoja në një kohë të caktuar ishte i kufizuar.

Pas disa ditësh testimi, gjeta dy gjëra që më lejuan të hakeroja mekanizmin e kufizimit të tyre.

  1. Gjendjen e Rrezikut (Race Hazard) dhe
  2. Rotacionin IP.

Për të kuptuar se çfarë është Gjendja e rrezikut, ju lutemi klikoni këtu. Dërgimi i kërkesave të njëkohshme duke përdorur IP të shumta më mundësojë që të dërgoj një numër të madh kërkesash pa u kufizuar. Numri i kërkesave që mund të dërgojmë varet nga numri i IP-ve që përdorim. Gjithashtu, kuptova se kodi skadon për 10 minuta dhe e bën sulmin më të vështirë, prandaj ne kemi nevojë për 1000 IP-ja për të kryer sulmin.

Unë i kam përdorur 1000 pajisje të ndryshme dhe IP për të dërguar 200 mijë kërkesa (që është 20 për qind e gjithsej një milion probabiliteti) në testet e mia.

Në një sulm kibernetik në jetën reale, hakeri ka nevojë për 5000 IP për të hakuar një llogari. Kjo tingëllon e madhe, por është e lehtë nëse përdorni një ofrues të shërbimit cloud si Amazon ose Google. Do të kushtonte vetëm 150 dollarë për të kryer një sulm të plotë të një milion kodeve.

Dërgimi i 200 mijë kërkesave

TheZeroHack