Pelatih Chennai Laxman Muthiyah Memenangkan $10.000 Karena Skor Buruk Instagram…
Catatan: Dalam topik berikutnya yang akan Anda baca, Anda akan mempelajari tentang: Pelatih Chennai Laxman Muthiyah Memenangkan $10.000 Karena Skor Buruk Instagram…
Laxman Muthiyah, peneliti keamanan yang berbasis di Chennai, menemukan kerentanan akuisisi akun baru Instagram jadi dapatkan $10.000 (sekitar Rs. 7,2 lakh) sebagai bagian dari program bug bounty Facebook. Muthiyah melihat kerentanan yang sama pada bulan Juli, di mana dia menerima $30.000 (sekitar Rs 21,21,6 lakh)
Namun, Facebook Anda sekarang telah memperbaiki kerentanan. Muthiyah melihat ID perangkat yang sama: pengidentifikasi unik yang digunakan oleh Instagram server untuk memvalidasi kode setel ulang kata sandi – dapat digunakan untuk meminta banyak kata sandi dari pengguna yang berbeda.
Facebook katanya dalam sebuah surat kepada Muthiyah “Ini mengidentifikasi perlindungan yang tidak memadai pada titik akhir pemulihan, yang memungkinkan penyerang menghasilkan banyak validator hingga sepuluh upaya pemulihan.”
Muthiyah menemukan bulan lalu bahwa bug tersebut dapat menyebabkan orang lain selain pengguna mengambil alih akun tersebut. Ini dilakukan dengan meminta pengaturan ulang kata sandi, meminta kode pemulihan, atau dengan cepat memeriksa kode pemulihan yang dapat diakses akun.
Muthiyah mengatakan dalam sebuah posting blog: “Facebook y Instagram Tim keamanan menyelesaikan masalah ini dan memberi saya hadiah $10.000 sebagai bagian dari program penghargaan mereka. Saya melaporkan kerentanan ke Facebook Keamanan dan tim asli tidak dapat mereproduksi karena informasi yang hilang dalam laporan saya. Setelah banyak email dan bukti video konsep, saya dapat meyakinkan mereka bahwa serangan itu mungkin terjadi,” tulis Muthiyah dalam sebuah posting blog.
Instagram Jangan biarkan diri Anda melakukan ini untuk waktu yang tidak terbatas. Ini akan memblokir Anda ketika Anda memasukkan kode yang salah lebih dari 200 kali. Selain itu, mereka yang melakukan ini hanya memiliki waktu 10 menit untuk memasukkan kode reset. Kesalahan datang ke sini. Jika seseorang memerlukan beberapa reboot sekaligus dan mencoba nomor acak, semuanya berturut-turut, orang tersebut kemungkinan besar akan berhasil. Sayangnya, ini diizinkan oleh aplikasi berpemilik dari Facebook. Inilah yang ditunjukkan Laxman.
Ini adalah masalah serius, terutama ketika privasi menjadi pusat perhatian. Siapapun bisa meretasnya Instagram dihitung jika opsi ini tidak terdeteksi.
Baru
