一名獨立研究人員Laxman Muthiyah本周揭露了他如何破解了Instagram(IG)社交網站的密碼復原程序,可取得任何IG用戶的登入憑證,還得到了臉書(Facebook)所頒發的3萬美元抓漏獎金。

Muthiyah說,他一開始就想尋找IG的密碼重設漏洞,先試著在IG的網頁重設密碼,但幾分鐘之後就覺得該服務的安全機制頗為強大,於是轉向IG的行動帳號復原程序。

當使用者要求以行動裝置接受IG的密碼重設服務時,會收到IG所寄出的6位數密碼,使用者可先輸入該密碼,再變更成自己的密碼。

於是Muthiyah決定採用暴力破解法來猜測此一6位數密碼。此一6位數密碼的有效時間只有10分鐘,且Muthiyah發現該機制的兩個重要臭蟲,一是它允許單一IP連續輸入200次的錯誤密碼,二是它並無黑名單的設計,亦即不會封鎖持續輸入錯誤的IP,但若要確保成功必須在10分鐘內嘗試100萬種組合。

因此,Muthiyah使用了1,000台不同的機器同時針對同一個帳號測試密碼,在10分鐘內即可測試20萬種組合,假設駭客透過各種雲端服務以5,000台機器展開攻擊,很容易就能取得任何IG用戶的密碼,花費大概是150美元。

Muthiyah並未說明該如何觸動密碼重設機制或是收到IG寄出的密碼,僅是展示如何用他的1,000台機器測試20萬組密碼,就得到了臉書的3萬美元獎勵。


Advertisement

更多 iThome相關內容