В систeмe aвтoризaции принадлежащей Facebook соцсети Instagram обнаружена уязвимость, делающая уязвимыми для взлома 20 миллионов (примерно 4% от общего числа) учетных записей. Проблему, которая заключалась в системе временной блокировки учетной записи, обнаружил консультант по безопасности Арне Свиннен.
В ходе проверки безопасности было выявлено, что формы верификации учетных записей могут различаться. Уязвимость в некоторых формах позволяла получить доступ к учетной записи. Из всех существующих аккаунтов примерно 39 тысяч можно было взломать, изменив номер телефона пользователя. Поменяв номер телефона, злоумышленник легко мог бы изменить пароль от аккаунта, через SMS. Электронную почту можно было поменять у 1700 учетных записей.
Свиннен отметил, что теоретически злоумышленник мог получить доступ к номеру телефона пользователя, а также легко изменить номер, прописанный в учетной записи Instagram. Сделав это, пароль можно было поменять через SMS и, таким образом, "украсть" аккаунт. После обнаружения компания Facebook устранила уязвимость в течение нескольких дней, а Свиннен получил премию в размере 5 тысяч долларов.
Источник: securitylab.ru