באג ב-Instagram מאפשר השתלטות על החשבון האישי
מאת:
מערכת Telecom News, 16.7.19, 15:23
איך זה עובד? בפייסבוק הסכימו, שמדובר ביותר מאשר סיכון תיאורטי, ושילמו למזהה פרצת האבטחה 30,000 דולרים.
לקסמן מותי'אה (
Laxman Muthiyah), חוקר אבטחה הצד אחר באגים, גילה באג ב-
Instagram (אינסטגרם), שאמצעותו ניתן להשתלט על חשבון של מישהו אחר באמצעות הפעלת איפוס סיסמה, בקשת קוד שיחזור וניסיון מהיר של כל קוד שיחזור אפשרי כנגד החשבון.
מהבדיקות ערך עלה, שניתן לנסות כ-200 קודים שונים של שיחזור סיסמה לפני שנחסמים ושרתי אינסטגרם לא יאפשרו ניחושים נוספים. קוד השיחזור הוא בעל 6 ספרות. כך, שקיימים מיליון צירופים אפשריים. קוד השיחזור נבחר באופן אקראי. כך, שכל קוד אפשרי ולא ניתן לבחור צירופים פופולריים כדי לנסות אותם בניסיונות הראשונים. בעת ניחוש הקוד, יש צורך לעבוד מהר ולא ניתן לקחת את הזמן, זאת בגלל שכל קוד תקף ל-10 דקות בלבד.
גם אם לא היתה מגבלה של 200 קודים, שניתן לנסות לפני חסימה, ב-10 דקות ניתן להזין 1000 אפשרויות מתוך כ-1,000,000 והקוד יפוג תוקף.
החוקר תהה האם החסימה היא למספר ניסיונות לאותו החשבון, או למספר הניסיונות מאותו המחשב, כלומר, אם היו לו 201 מחשבים שונים עם מספרי
IP שונים וכל מחשב עשה ניסיון אחד, מה יגרום לחסימת הניסיון ה-200? או, אם היו לו 201 מחשבים וכל אחד מהם מנסה 200 צירופים, האם זה שווה ל-40,200 ניחושים שונים?
כדי לענות על השאלות, הוא ניסה עם 1,000 כתובות
IP שונות והצליח לבצע 200,000 ניחושים מבלי להיחסם.
כשמעבירים זאת למספרים גדולים יותר, כל מי שיהיה בעל 5,000 כתובות
IP יוכל לנסות מיליון צירופים של קודים ב-10 דקות וכך בוודאות לנחש את הקוד הנכון. החוקר מעריך, שניתן לבצע מתקפה כזו באמצעות שירותי ענן של אמזון או גוגל בעלות של כ-150$, ואמנם לא ניתן לפרוץ כך את כל החשבונות, אבל באופן יחסי ניתן לפרוץ חשבון אינסטגרם של מישהו, שנבחר בצורה קלה וזולה.
בפייסבוק הסכימו, שאכן מדובר ביותר מאשר סיכון תיאורטי ואף שילמו לחוקר האבטחה כ-30,000 דולרים וטיפלו בנושא ככל הנראה באמצעות הגבלת קצב השימוש בקודים של שיחזור על בסיס חשבון מותקף ולא על ניסיונות ניחוש של צד אחר.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע
ESET בישראל: "חשוב שכל מה שקשור לשיחזור סיסמה יוגדר דרך אימות דו שלבי בטלפון ודרך כתובת מייל חלופית. במידה שהחשבון ייפרץ באמצעות באגים, שעדיין אינם מוכרים ומנוצלים ע"י עבריינים, זה יוכל לעזור לביטחון החשבון.
כמובן במקרה, שבו מקבלים התראות במייל או בטלפון על נסיונות התחברות לחשבון שלנו, שלא ביצענו או קוד שיחזור שלא ביקשנו, חשוב לדווח על כך לחברה המפעילה את השירות.
במקרה של עבריינים, בדרך כלל הם לא ישתמשו בשירותי ענן של אמזון או גוגל כדי לפרוץ לחשבונות, אלא ינצלו רשתות בוטנט של מחשבים נגועים בתוכנות זדוניות, שניתן להנחות אותם לבצע פעולות מכל מקום ובכל זמן. גם אם אין רשת כזו בבעלותם, ניתן לשכור רשתות בוטנט במחירים נמוכים משמעותית וכך לפרוץ חשבונות רבים יותר ובמחיר נמוך יותר.
בד"ככאשר מדובר בבאג או פרצה, שנמכרים בפורומים של האקרים, ניתן לרכוש אותו כאשר כבר הוא כולל קוד מוכן להטמעה וניצול בפועל, וכל מה שנדרש הוא מספר הגדרות פשוטות ליישום. כך, שלא רק האקרים מקצועיים יכולים להשתמש בהם".