Dünya genelinde 1 milyarı aşkın kullanıcısı olan Instagram’da tüm hesapları etkileyebilecek kririk bir güvenlik açığı bulundu. Üstelik bu açıkla herhangi bir kişinin Instagram hesabı 10 dakika içinde ele geçirilebiliyor. 

Laxman Muthiyah isimli “ödül avcısı”nın bulduğu ve yetkililere bildirdiği güvenlik açığı, Instagram'ın mobil sürümünde şifre yenilerken ortaya çıktı.

Bilindiği gibi Facebook bünyesindeki sosyal ağ Instagram'da şifresini unutan kullanıcılar, 'Parolamı sıfırla' özelliğiyle şifrelerini geri alabiliyor. Bu özellik sayesinde, kayıtlı telefon numarasına ya da e-posta adresine 6 haneli gizli bir parola gönderilen kullanıcılar hesaplarına tekrar erişebiliyor.

Instagram da bu süreçte hesapları ele geçirmek amacıyla yapılan kötü niyetli girişimleri engellemek için şifre deneme sayısında belli bir kısıtlama uyguluyor.

Ancak Laxman Muthiyah, güvenlik için konulan bu kısıtlama sistemini aşan bir yöntem bulduğunu duyurdu.

İŞTE O VİDEO 

 

Farklı IP adreslerinden çok sayıda istek göndererek bu sistemi aşabildiğini fark eden Muthiyah,  bu işlemin nasıl yapıldığını da paylaştığı bir video ile gösterdi. 

Muthiyah farklı IP adresleri üzerinden 250 farklı deneme gönderecek şekilde 10 dakika boyunca sistemi zorlayan bir kod girişi deneme programı geliştirdi. Bu programla Laxman Muthiyah, 200 bin kodu saniyeler içerisinde ve engellenmeden denenebildiğini gösterdi. Geliştirilen program Instagram’ın 10 dakikalık kod deneme süresi engeline de takılmadı.

'150 DOLARA SİZ DE DENEYEBİLİRSİNİZ!'

The Hacker News'a konuşan ödül avcısı, "Gerçek bir saldırı senaryosunda hacker’ın bir hesabı hacklemesi için 5 bin tane IP adresine ihtiyacı var. Başta kulağa büyük bir sayı gibi gelse de Amazon ya da Google gibi bir bulut hizmet sağlayıcısı kullanıyorsanız yalnızca 150 dolara bir milyon kodu deneyebilirsiniz" dedi.

Instagram’a bu açığı bildiren Laxman Muthiyah, bulduğu hata için sosyal ağdan 30 bin dolar ödül kazandı.

24 SAATGÜNÜN ÖZETİ
24 saat
24 saat günün önemli haberleri ve gelişmeleri