وصله‎ی حفره‌ی اینستاگرام که ۲۰ میلیون حساب کاربری را در معرض خطر قرار می‌داد!

مشاوره امنیتی به نام آرن سوینن، می‌گوید اینستاگرام حفره‌های احراز هویت brute force را که موجب سرقت ۲۰ میلیون حساب کاربری این شبکه اجتماعی می‌شد، وصله کرده است.
این کارمند شرکت امنیت اطلاعات NVISCO گفته است که نبود کنترل کننده‌هایی برای احراز هویت به همراه آسیب‌پذیری مستقیم اشیاء ناامن موجب می‌شد که مهاجمان بتوانند حدود ۴ درصد از حساب‌های این شبکه را در وضعیت قفل موقت نگه دارند.
فیس‌بوک که صاحب شبکه‌ی اینستاگرام است مبلغ ۵۰۰۰ دلار پاداش را برای گزارش این حفره‌ها به سویین پرداخت و ظرف مدت ده روز پس از دریافت گزارش، در اوایل ماه حفره‌ها را وصله کرد.
سوینن یک پیوند تأیید حساب کاربری را که برای حساب آزمایشی خود ساخته بود، پیدا کرد و سپس شروع به شمارش حساب‌های کاربری در نشانی آدرس برای آزمایش یک میلیون حساب کرد.
فرم تأییدیه برای حساب‌های متعدد متفاوت بود. برخی از آنها آسیب‌پذیری امنیتی نداشتند و در حالی‎که برخی دیگر به مهاجم اجازه دسترسی به حساب را می‌دادند.
از این حساب‌های مورد آزمایش قرار گرفته، حدود ۳۹۰۰۰ مورد با تغییر شماره تلفن مربوط به حساب قابل دسترسی بودند، شاهکاری که علاوه بر آن موجب نشان داده شدن شماره تلفن کاربر در فرم از قبل پر شده می‌شد.
مهاجم می‌توانست نشانی‌های رایانامه ۱۷۰۰ حساب کاربری را تغییر دهد.
سوینن می‌گوید:‌ «این مورد می‌تواند هنگامی وحشتناک‌تر شود که مهاجم از یک طرف اطلاعات مهم و حساس حساب کاربری را جمع‌آوری کند (نظیر شماره تلفن‌ها) و از طرف دیگر به راحتی شماره تلفن مرتبط با حساب کاربری شخص را به‎روزرسانی کند. بعد از اینکه او موفق شد یک شماره تلفن جدید را وارد کند، می‌تواند رمز عبور را با گزینه‌ی «تنظیم مجدد رمز عبور با پیامک» عوض کند و کاملاً حساب کاربری شخص قربانی را به دست گیرد».
سوینن می‌گوید که یک بررسی دستی سریع نشان داد که بسیاری از این شماره تلفن‌های در معرض قرار گرفته «شماره‌های شخصی افراد» بودند که حساب‌های آن‎ها با داشتن «تعداد زیادی» دنبال کننده، چند هفته غیرفعال بوده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]