Siber Uzay'ın Haber Platformu

H4cktimes Youtube Kanalı

Facebook, Instagram’daki Hata için $10.000 Ödül Verdi

0

Hindistanlı güvenlik araştırmacısı, Instagram’daki bir hatayı ortaya çıkardı ve Facebook’tan $10.000 ödül aldı.

Hint asıllı güvenlik araştırmacısı olan Laxman Muthiyah, Instagram’ın mobil cihazlar için hesap kurtarma sürecinde saldırganların kullanıcı hesaplarına girmesine izin verebilecek bir hata (güvenlik açığı) keşfetti.

Muthiyah’a göre, Instagram sunucusu parola sıfırlama kodlarını doğrulamak için tanımlayıcı olarak cihaz kimliğini kullanıyor.

Muthiyah: “Bir kullanıcı mobil cihazını kullanarak bir kod istediğinde, istekle birlikte bir cihaz kimliği gönderilir ve aynı cihaz kimliği kodu doğrulamak için tekrar kullanılır.

Araştırmacı, aynı cihaz kimliğinin farklı kullanıcılara ait birden çok Instagram hesabı için kod istemek amacıyla kullanılabileceğini ve bir saldırganın tek bir cihaz kimliği ile birden fazla hesabı kırabileceğini tespit etti.

Multiyah: “6 basamaklı bir parola sıfırlama kodu için 1.000.000 olasılık vardır (000001-999999). Böylece, birden fazla kullanıcının parola sıfırlama kodunu istediğimizde, hesap hackleme ihtimalini arttırıyoruz.
Örneğin, aynı cihaz kimliğini kullanarak 100.000 adet kullanıcı için parola sıfırlama kodu talep ederseniz size 100.000 adet kod verilir, bu durumda %10 bir başarı oranına sahip olursunuz. Eğer 1.000.000 kullanıcı için kod talep ederseniz hepsi bir bir denenir ve tüm hesaplar hacklenir.
Bu nedenle, bir saldırganın, saldırıda %100 başarı elde edebilmesi için 1.000.000 kullanıcının parola sıfırlama kodunu istemesi gerekir. Ayrıca kodlar 10 dakikanın sonunda geçerliliğini kaybeder, bu yüzden tüm saldırı 10 dakika içinde gerçekleşmelidir.

Son zamanlarda, milyonlarca Instagram influencer'ına, ünlüye ve marka hesabına ait kişisel bilgileri içeren, parola koruması olmayan bir sunucu çevrimiçi olarak bulundu.
Sızıntıyı tespit eden güvenlik araştırmacısı Anurag Sen'e göre, veritabanı, çevrimiçi ortamda açığa çıkan ve herkesin erişimine izin verilen 49 milyondan fazla kayda sahipti.

Açıklanan veriler kullanıcıların profil resimlerini, takipçi sayılarını, şehir ve ülkelere göre konumlarını hatta telefon numarası ve e-posta gibi iletişim bilgilerini içeriyordu.

Anurag, sızdırılan veritabanının Hindistan Mumbai merkezli bir sosyal medya pazarlama şirketi olan Chtrbox'a ait olduğunu belirtti.
Chtrbox, veritabanını çevrimdışına aldı ve olayla ilgili soruşturma başlatılmasını talep etti.

 

Gönderen: Zehra Uyar

Yorum Bırak

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.