Як пише PCMag, кіберексперт Лаксман Мутія (Laxman Muthiyah) виявив уразливість у сервісі, яка дозволяє зламати будь-яку сторінку за допомогою запиту на відновлення доступу до неї.

Коли користувачі Інстаграму забувають свій пароль і запитують його відновлення, сервіс надсилає випадковий шестизначний код на телефон, який прив’язаний до акаунту. Мутія з’ясував, що цей код можна підібрати, дотримуючись певного алгоритму.

З однієї IP-адреси Інстаграм дозволяє ввести код на відновлення максимум 250 раз. Причому, між спробами повинен бути проміжок у 10 хвилин. Враховуючи, що може існувати близько мільйона варіацій різних шестизначних кодів, їх випадкове генерування і введення займе дуже багато часу, і не факт, що комбінація співпаде з перших 250 спроб.

Замість цього Лаксман Мутія створив окрему програму, яка дозволяє вводити величезну кількість кодів з різних IP-адрес. Розробник опублікував відео, на якому він відправляє 200 тис. різних кодів для злому тестового Інстаграм-акаунта.

«Насправді хакерам знадобиться 5 тис. IP-адрес, щоб зламати акаунт. Здається, що це багато, але, насправді, це легко, якщо ви використовуєте хмарні сервіси типу Amazon або Google. Створення одного мільйона випадкових кодів обійдеться приблизно у $150», — написав Мутія.

В Інстаграмі заявили, що виправили помилку за допомогою обмеження кількості вводів пароля відновлення протягом 10 хвилин. Тепер додаток блокує велику кількість спроб, навіть якщо вони надходять з різних IP-адрес.

Повідомляється, що фахівець отримав $30 тис. в якості нагороди за виявлення уразливості від материнської компанії Інстаграм — Фейсбук.

Зазначимо, що експерти з кібербезпеки виявили, вразливість у Вотсап і Телеграм. З’ясувалося, що медіафайли, які передають через месенджери, не є повністю захищеними.