image

Onderzoeker kon elk Instagram-account door lek overnemen

maandag 15 juli 2019, 15:39 door Redactie, 3 reacties

Een beveiligingslek in Instagram maakte het voor aanvallers mogelijk om elk willekeurig account over te nemen. Facebook heeft de kwetsbaarheid inmiddels verholpen en onderzoeker Laxman Muthiyah die het probleem ontdekte en rapporteerde met 30.000 dollar beloond.

Instagram-gebruikers die hun wachtwoord zijn vergeten kunnen hun mobiele telefoonnummer invoeren. Vervolgens wordt er een zescijferige code naar de telefoon gestuurd. De gebruiker moet deze code bij Instagram invoeren en kan daarna een nieuw wachtwoord instellen. Dat houdt in dat er maximaal 1 miljoen mogelijkheden zijn. Muthiyah ontdekte dat de bescherming van Instagram tegen bruteforce-aanvallen onvoldoende is, waardoor een aanvaller alle mogelijke combinaties kon proberen.

Een aanvaller die over voldoende ip-adressen beschikte kon zo de resetcode achterhalen en invoeren, om vervolgens een wachtwoord voor het account van zijn slachtoffer op te geven. Het was mogelijk om vanaf één ip-adres 200 verzoeken te versturen. Een aanvaller met 5000 ip-adressen zou zo elk account kunnen kapen. Via clouddiensten van Amazon of Google zou een dergelijke aanval voor een bedrag van 150 dollar mogelijk zijn, aldus Muthiyah. Hij waarschuwde Facebook dat het probleem verhielp en een beloning van 30.000 dollar uitkeerde.

Reacties (3)
15-07-2019, 15:45 door DLans
Ik weet niet wat ik gekker vind. Dat je 200 verzoeken per IP adres kan doen, of dat het schijnbaar mogelijk was om tot maximaal 1 miljoen keer een code op te geven voor een account. Bij beide opties zou er toch automatisch ergens een belletje af moeten gaan om het account (tijdelijk) te blokkeren.
16-07-2019, 08:55 door Anoniem
Door DLans: Ik weet niet wat ik gekker vind. Dat je 200 verzoeken per IP adres kan doen, of dat het schijnbaar mogelijk was om tot maximaal 1 miljoen keer een code op te geven voor een account. Bij beide opties zou er toch automatisch ergens een belletje af moeten gaan om het account (tijdelijk) te blokkeren.
Ja, asl je dat gerpogrammeerd hebt.... vanzelf gaat niks.....
16-07-2019, 09:27 door Anoniem
Er zijn genoeg scenario's (zelfs in Nederland) waarbij er 200 man achter 1 IP adres zit.

Het blijkt opnieuw dat security "per IP" een gedoemde aanpak is, ook in 2019.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.