Hər hansı bir Instagram hesabının 10 dəqiqə ərzində ələ keçirilməsinə səbəb olan boşluq aşkarlanıb.
Chip.az bildirir ki, Laxman Muthiyah adlı bir nəfər, Instagram-da istədiyiniz hər hansı bir adamın hesabını on dəqiqə içərisində ələ keçirmənizi təmin edən bir təhlükəsizlik boşluğu müəyyən edib. Xətanı video olaraq da göstərən Laxman, vəziyyəti dərhal Instagram-a bildirib.
İnkişaf etmiş təhlükəsizlik mexanizmlərinə malik olsalar da Facebook, Google və Linked-in kimi, texnologiya, sosial media nəhəngləri hələ də müəyyən təhlükəsizlik boşluqlarına malikdirlər. Bu siyahıya sürətlə böyüyən Instagram da daxildir.
Milyonlarla istifadəçiyə sahib olan Instagram, bir müddət öncə çox ciddi bir xətanı aradan qaldırdı. Xəta nəticəsində hakerlər, hər hansı bir Instagram hesabını, hesab sahibinin hər hansı bir təsiri olmadan onun hesabını ələ keçirirdi.
İnstagram
Instagram-da olan bəzi təhlükəsizlik boşluqları aradan qaldırılmış olsa da bəziləri hələ də düzəliş mərhələsindədir. Bununla yanaşı, sistemdə olan, ancaq, aşkarlanmamış boşluqlar da az deyil.
Laxman Muthiyah-ın tapdığı və rəsmi nümayəndələrə bildirdiyi təhlükəsizlik boşluğu, Instagram-ın mobil variantında şifrə yeniləyərkən ortaya çıxdı.
Instagram-da parolu sıfırla xüsusiyyəti sayəsində şifrəsini unudan istifadəçilər, şifrələrini geri almaq imkanına sahib olurdu. 6 şifrədən ibarət kodun telefon nömrəsinə və ya e-poçt ünvanına göndərilməsi nəticəsində istifadəçilər hesablarına yenidən daxil ola bilirdilər.
Bu proses, bir milyon kombinasiyadan təsadüfi seçilmiş bir şifrə seçməyiniz nəticəsində sizə, istədiyiniz hesaba daxil olmaq imkanını təmin edirdi. Təbii ki, Instagram, bu ehtimalı düşündüyü üçün şifrə sınaq sayını məhdudlaşdırmışdı ancaq Laxman, bu prosesi həyata keçirdiyi bir üsulu kəşf etdi.
Fərqli IP ünvanlarından böyük sayda istək göndərərək bu sistemi aşa bilən Laxman, 200.000 kodu (yəni bütün ehtimalların 20 %-ni) saniyələr içərisində bloklanmadan yoxladı.
The Haker News-a müsahibə verən Laxman, "Real bir hücum ssenarisində hacker-in bir hesabı hacklemesi üçün 5.000 dənə IP ünvanına ehtiyacı var. Başda qulağa böyük bir say kimi gəlsə də Amazon, ya da Google kimi bir bulud xidmət təchizatçısı istifadə edirsinizsə, yalnız 150 dollara bir milyon kodu təcrübə edə bilərsiniz" –deyə bildirib.
Bunu sübut etmək üçün bir video çəkən Laxman, xətanı Instagram-a bildirdi və 30.000 dollar dəyərində pul mükafatının da sahibi oldu.
Sevinc Baba-zadə
Laxma-nın İnstagram-a təqdim etdiyi videoya aşağıdan baxa bilərsiniz:
https://www.youtube.com/watch?v=4O9FjTMlHUM
