Pelatih Chennai Laxman Muthiyah memenangkan $ 10.000 karena poin yang cacat Instagram…
Laxman Muthiyah, seorang peneliti keamanan yang berbasis di Chennai, menemukan kerentanan akuisisi akun baru Instagram dengan demikian menghasilkan $ 10.000 (sekitar Rs. 7.2 lakh) sebagai bagian dari program hadiah bug Facebook. Muthiyah melihat kerentanan yang sama pada bulan Juli, di mana ia menerima $ 30.000 (sekitar Rs.21.6 lakh)
Namun, Facebook Anda sekarang telah memperbaiki kerentanan. Muthiyah memperhatikan bahwa ID perangkat yang sama: pengidentifikasi unik yang digunakan oleh Instagram server untuk memvalidasi kode setel ulang kata sandi – dapat digunakan untuk meminta beberapa kata sandi dari pengguna yang berbeda.
Facebook katanya dalam sebuah surat kepada Muthiyah "Ini mengidentifikasi perlindungan yang tidak memadai pada titik akhir pemulihan, yang memungkinkan penyerang menghasilkan banyak nonces yang valid hingga sepuluh upaya pemulihan."
Muthiyah telah menemukan bulan lalu bahwa kesalahan dapat menyebabkan orang lain mengambil alih akun daripada pengguna. Ini dilakukan dengan meminta pengaturan ulang kata sandi, meminta kode pemulihan, atau dengan cepat menguji kode pemulihan yang kemungkinan akan masuk ke akun.
Muthiyah mengatakan dalam sebuah posting blog: "Facebook y Instagram Tim keamanan menyelesaikan masalah ini dan memberi saya hadiah $ 10.000 sebagai bagian dari program hadiah mereka. Saya melaporkan kerentanan terhadap Facebook Tim keamanan dan tidak dapat mereproduksi pada awalnya karena kurangnya informasi dalam laporan saya. Setelah beberapa email dan bukti video konsep, saya bisa meyakinkan mereka bahwa serangan itu layak, "tulis Muthiyah dalam posting blog."
Instagram Jangan biarkan diri Anda melakukan ini untuk waktu yang tidak terbatas. Ini akan memblokir Anda ketika Anda memasukkan kode yang salah lebih dari 200 kali. Juga, mereka yang melakukan ini hanya memiliki 10 menit untuk memasukkan kode reset. Kelemahan datang ke sini. Jika seseorang meminta beberapa restart pada waktu yang sama dan mencoba angka acak, semua berturut-turut, orang itu sangat mungkin berhasil. Sayangnya, ini diizinkan oleh aplikasi milik PT Facebook. Inilah yang ditunjukkan Laxman.
Ini adalah masalah serius, terutama ketika privasi sedang dalam sorotan. Siapa pun dapat meretasnya Instagram diperhitungkan jika opsi ini tidak terdeteksi.
Baru
