Güvenlik AçıklarıSizden Gelenler

Facebook, Instagram’daki Hata için $10.000 Ödül Verdi

2 dakikada okunur

Hindistanlı güvenlik araştırmacısı, Instagram’daki bir hatayı ortaya çıkardı ve Facebook’tan $10.000 ödül aldı.

Hint asıllı güvenlik araştırmacısı olan Laxman Muthiyah, Instagram’ın mobil cihazlar için hesap kurtarma sürecinde saldırganların kullanıcı hesaplarına girmesine izin verebilecek bir hata (güvenlik açığı) keşfetti.

Muthiyah’a göre, Instagram sunucusu parola sıfırlama kodlarını doğrulamak için tanımlayıcı olarak cihaz kimliğini kullanıyor.

Muthiyah: “Bir kullanıcı mobil cihazını kullanarak bir kod istediğinde, istekle birlikte bir cihaz kimliği gönderilir ve aynı cihaz kimliği kodu doğrulamak için tekrar kullanılır.

Araştırmacı, aynı cihaz kimliğinin farklı kullanıcılara ait birden çok Instagram hesabı için kod istemek amacıyla kullanılabileceğini ve bir saldırganın tek bir cihaz kimliği ile birden fazla hesabı kırabileceğini tespit etti.

Multiyah: “6 basamaklı bir parola sıfırlama kodu için 1.000.000 olasılık vardır (000001-999999). Böylece, birden fazla kullanıcının parola sıfırlama kodunu istediğimizde, hesap hackleme ihtimalini arttırıyoruz.
Örneğin, aynı cihaz kimliğini kullanarak 100.000 adet kullanıcı için parola sıfırlama kodu talep ederseniz size 100.000 adet kod verilir, bu durumda %10 bir başarı oranına sahip olursunuz. Eğer 1.000.000 kullanıcı için kod talep ederseniz hepsi bir bir denenir ve tüm hesaplar hacklenir.
Bu nedenle, bir saldırganın, saldırıda %100 başarı elde edebilmesi için 1.000.000 kullanıcının parola sıfırlama kodunu istemesi gerekir. Ayrıca kodlar 10 dakikanın sonunda geçerliliğini kaybeder, bu yüzden tüm saldırı 10 dakika içinde gerçekleşmelidir.

[message_box title=”” text=”

Son zamanlarda, milyonlarca Instagram influencer’ına, ünlüye ve marka hesabına ait kişisel bilgileri içeren, parola koruması olmayan bir sunucu çevrimiçi olarak bulundu.
Sızıntıyı tespit eden güvenlik araştırmacısı Anurag Sen’e göre, veritabanı, çevrimiçi ortamda açığa çıkan ve herkesin erişimine izin verilen 49 milyondan fazla kayda sahipti.

Açıklanan veriler kullanıcıların profil resimlerini, takipçi sayılarını, şehir ve ülkelere göre konumlarını hatta telefon numarası ve e-posta gibi iletişim bilgilerini içeriyordu.

Anurag, sızdırılan veritabanının Hindistan Mumbai merkezli bir sosyal medya pazarlama şirketi olan Chtrbox’a ait olduğunu belirtti.
Chtrbox, veritabanını çevrimdışına aldı ve olayla ilgili soruşturma başlatılmasını talep etti.

“]

 

Gönderen: Zehra Uyar

Bunlar ilgini çekebilir
Mobil CasuslukSiber SaldırılarSizden GelenlerZararlı Yazılımlar

Cerberus Zararlısının USOM'u Taklit Eden C2C Sunucusu Tespit Edildi

1 dakikada okunur
ESET‘in araştırma ekibi, Türk kullanıcıları hedefleyen ve araç muayenesi adı altında kullanıcıların kredi kartı bilgilerini isteyip sonrasında ise fatura görünümündeki Cerberus bankacılık…
Güvenlik Açıkları

Windows SMB Protokolünü Etkileyen Kritik Bir Güvenlik Açığı Daha: SMBleed

4 dakikada okunur
Siber güvenlik araştırmacıları geçtiğimiz günlerde, Microsoft Windows Sunucu İleti Bloğu (SMB) protokolünü etkileyen ve saldırganların çekirdek belleğine uzaktan sızmasına izin verebilecek yeni…
Güvenlik Açıkları

NSA, E-posta Sunucularını Hedefleyen Yeni Sandworm Saldırılarına Karşı Uyarıyor

2 dakikada okunur
NSA, Rusya destekli hacker’ların Ağustos 2019’dan bu yana Exim e-posta sunucularında arka kapılar oluşturmak için saldırılar düzenlediğini söyledi. ABD Ulusal Güvenlik Ajansı…
Siber güvenlik dünyasındaki gelişmeleri takip edin.
Verinizi gizli tutuyoruz ve sadece bu servisi imkanlı kılan üçüncü partiler ile paylaşıyoruz. Gizlilik Politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.