Специалист в области кибербезопасности Лаксман Мутийя (Laxman Muthiyah) нашел в Instagram уязвимость, с помощью которой можно взломать любой аккаунт за 10 минут. Об этом он в подробностях написал в своем блоге Zero Hack.

Корень проблемы в системе восстановления пароля. При его смене пользователь получает одноразовый шестизначный код на смартфон — таким образом подтверждается, что замену пароля осуществляет владелец аккаунта.

Мутийя попытался обойти систему с помощью генерации кода. Как известно, существует 900 тысяч шестизначных чисел. Однако система ограничивает количество возможных попыток с одного IP-адреса, так что эксперту пришлось пойти на хитрость: он отправлял коды с тысячи IP-адресов. По итогам было совершено более 200 тысяч запросов за десять минут — срок действия отправленного пользователю кода.

По данным специалиста, для взлома любого аккаунта в Instagram понадобится пять тысяч IP-адресов и один миллион запросов. Подобные ресурсы можно приобрести за сравнительно небольшую сумму — 150 долларов (около девяти тысяч рублей).

За обнаруженную уязвимость компания Facebook, владеющая Instagram, выплатила хакеру 30 тысяч долларов (примерно 1,9 миллиона рублей).