Cacat Ini Bisa Memungkinkan Peretas untuk Meretas Apa Pun Instagram Akun dalam 10 Menit

Hati-hati! Facebooklayanan berbagi foto milik baru-baru ini telah menambal kerentanan kritis yang bisa memungkinkan peretas untuk berkompromi dengan apa pun Instagram akun tanpa memerlukan interaksi apa pun dari pengguna yang ditargetkan.

Instagram tumbuh dengan cepat – dan dengan jaringan media sosial paling populer di dunia setelahnya Facebook, jaringan berbagi foto sangat mendominasi dalam hal keterlibatan dan interaksi pengguna.

Meskipun memiliki mekanisme keamanan canggih di tempat, platform yang lebih besar suka Facebook, Google, LinkedIn, dan Instagram tidak sepenuhnya kebal terhadap peretas dan mengandung kerentanan parah.

Beberapa kerentanan baru-baru ini telah ditambal, beberapa masih dalam proses diperbaiki, dan banyak lainnya kemungkinan besar memang ada, tetapi belum ditemukan.

Rincian salah satu kerentanan kritis tersebut di Instagram muncul hari ini di Internet yang memungkinkan penyerang jarak jauh untuk mereset kata sandi apa pun Instagram akun dan mengambil kendali penuh untuk itu.

Ditemukan dan dilaporkan secara bertanggung jawab oleh pemburu hadiah bug India Laxman Muthiyah, kerentanan itu berada dalam mekanisme pemulihan kata sandi yang diterapkan oleh versi mobile dari Instagram.

"Reset kata sandi" atau "pemulihan kata sandi" adalah fitur yang memungkinkan pengguna mendapatkan kembali akses ke akun mereka di situs web jika mereka lupa kata sandi mereka.

Aktif Instagram, pengguna harus mengonfirmasi enam digit kode sandi rahasia (yang kedaluwarsa setelah 10 menit) dikirim ke nomor ponsel atau akun email terkait untuk membuktikan identitas mereka.

Itu artinya, satu dari satu juta kombinasi dapat membuka kunci Instagram akun menggunakan serangan brute force, tetapi tidak sesederhana kedengarannya, karena Instagram memiliki pembatasan tingkat diaktifkan untuk mencegah serangan seperti itu.

Namun, Laxman menemukan bahwa pembatasan laju ini dapat dilewati dengan mengirimkan permintaan brute force dari alamat IP yang berbeda dan meningkatkan kondisi ras, mengirimkan permintaan bersamaan untuk memproses beberapa upaya secara bersamaan.

"Bahaya ras (permintaan bersamaan) dan rotasi IP memungkinkan saya untuk mem-bypassnya. Kalau tidak, itu tidak mungkin. Waktu kedaluwarsa 10 menit adalah kunci mekanisme pembatasan laju mereka, itu sebabnya mereka tidak memberlakukan pemblokiran kode secara permanen, "Laxman memberi tahu The Hacker News.

Seperti ditunjukkan dalam demonstrasi video di atas, Laxman berhasil menunjukkan kerentanan untuk membajak Instagram akun dengan cepat mencoba 200.000 kombinasi kode sandi yang berbeda (20% dari semua) tanpa diblokir.

"Dalam skenario serangan nyata, penyerang membutuhkan 5.000 IP untuk meretas akun. Kedengarannya besar, tapi itu sebenarnya mudah jika Anda menggunakan penyedia layanan cloud seperti Amazon atau Google. Akan memakan biaya sekitar 150 dolar untuk melakukan serangan total satu juta kode. "

Laxman juga telah merilis exploit bukti konsep untuk kerentanan, yang sekarang telah ditambal oleh Instagram, dan perusahaan memberi Laxman hadiah $ 30.000 sebagai bagian dari program hadiah bugnya.

Untuk melindungi akun Anda dari beberapa jenis serangan online, juga untuk mengurangi peluang Anda dikompromikan ketika penyerang langsung menargetkan aplikasi yang rentan, pengguna sangat disarankan untuk mengaktifkan "otentikasi dua faktor," yang dapat mencegah peretas mengakses akun Anda meskipun mereka entah bagaimana berhasil mencuri kata sandi Anda.