【又攞獎金】黑客100%成功率奪取Instagram帳戶
喺上個月,獨立研究員 Laxman Muthiyah 發現 Instagram 嘅 2FA(Two Factor Authentication) 驗證漏洞,只需 10 分鐘時間就可以將一個 Instagram 帳戶搶到手,舉報後 Facebook 俾咗 3 萬美元獎金答謝佢嘅貢獻。事隔一個月,Laxman 又再發現 Instagram 另一個漏洞,雖然比上次嘅方法難少少,但一樣可以將任何 Instagram 帳戶手到拿來,令 Facebook 再次發出一萬美元獎金,真係長賺長有!
Instagram帳戶重設漏洞
黑客高手必備素質,就係要經常保持好奇心,仲要 think out of the box ,思考喺規則下有無漏洞會出現。Laxman 喺首次發現 Instagram 重設密碼漏洞時,發現雖然設有 2FA 雙重驗證機制,但由於發出嘅 6 位數字驗證碼,只得 100 萬個組合,而且有效期長達 10 分鐘,再加上一個 IP address 可以用嚟撞 200 次密碼,所以就計算出暴力破解(brute-forcing)嘅可行方法,花 150 美元租用雲端設備創造 5000 個 IP address,就可以喺 10 分鐘內奪取任何一個 Instagram 帳戶。
漏洞經 Facebook 及 Instagram 團隊修補,但用戶用手機要求重設密碼時,就會連同手機嘅 ID 一齊發出,回傳 6 位數驗證碼時亦會確認埋係咪同一 ID,理論上穩陣好多啦。但 Laxman 又再大膽假設小心求證,測試用同一 ID 發出唔同帳戶重設密碼嘅要求,到底又得唔得呢?結果又俾佢發現原來係得㗎喎,既然 10 分鐘失效嘅規則無變,Laxman 話只要佢用同一 ID 申請重設 100 萬個帳戶密碼,咁就百分百攞晒呢 6 位數字驗證碼嘅所有組合,基本上同破解上一次嘅漏洞做法差唔多。
再次向 Facebook 舉報後,對方又再發出一萬美元獎金,同時即刻修補漏洞,而且仲喺回應嘅電郵內話 ‘We look forward to receiving more reports from you in the future!’ 添,你話幾大方呢?