Skip to content
Rivista Cybersecurity Trends
Rivista Cybersecurity Trends
Secondary Navigation Menu
Menu
  • News
    • In Primo Piano
    • Cyber News
  • Articoli
    • Articoli
    • Interviste VIP
  • Video Interviste
  • For Beginners
    • Cyber Pills
    • Awareness Video
  • For Experts
    • Hacking Around
    • Technical Video
  • Rubriche
    • Bibliografia
    • Dalla Redazione
    • Dalle Aziende
    • Dalle Università
    • Eventi
    • Offerte di Lavoro
    • Barometro
  • Sfoglia la rivista
  • About Us
    • La Rivista
    • Autori
    • Altre Edizioni
    • Contattaci

Critical Account Take Over Vulnerability. Come viene hakerato il tuo account Instagram in 10 minuti

By: Editors
On: 16 Luglio 2019
In: Cyber News

Un ricercatore ha segnalato una vulnerabilità critica che consente a cybercriminali di hackerare un account Instagram e assumerene il pieno controllo in 10 minuti.

Questo è uno dei casi di Bug Bounty (Cybertrends ve ne aveva già parlato in questo articolo https://www.cybertrends.it/i-migliori-bug-bounty-del-mondo-dellinformatica-numeri-e-statistiche)

Questo tipo di vulnerabilità consente ad un hacker di ottenere di ottenere una One Time Password (OTP) e in 10 minuti assumere il pieno controllo del profilo account. 

Il ricercatore indiano Laxman ha cercato di studiare a fondo questa vulnerabilità di Instagram prima da Pc, poi da mobile. Il primo tentativo è stato condotto attraverso l’interfaccia web e reimpostando la password sull’account Instagram scelto. Instagram ha però implementato un meccanismo di reimpostazione “strong” delle password basato su una procedura e un link non proprio facile da bypassare.

Laxaman ha poi provato il secondo metodo di reimpostazione dall’interfaccia mobile che richiede di inserire il numero di cellulare degli utenti per inviare il codice a 6 cifre (OTP) per reimpostare la password. Quando gli utenti richiedono l’OTP a 6 cifre, il sistema genera in modo casuale il codice di accesso da una combinazione di un milione di codici e lo invia agli utenti che ne hanno fatto richiesta e che dovrà essere entro 10 minuti. Al termine dei 10 minuti infatti il codice non sarà più valido e se ne dovrà chiedere un altro.

Per assumere il controllo dell’account Instagram, quindi modificare e reimpostare la password di qualsiasi utente, bisognerebbe provare attraverso attacchi brute force tutte le milioni di combinazioni passcode generabili. Instagram però limita tali richieste automatizzate. Per verificare l’effettiva efficienza del filtro di sicurezza, Laxman ha inviato circa 1000 richieste, 250 delle quali sono state esaminate e le restanti 750 richieste limitate. “Dopo alcuni giorni di continui test , ho trovato due cose che m hanno permesso di bypassare il loro meccanismo di limitazione.“

  1. Race Hazard
  2. IP rotation

Il team di cybersecurity di Facebook e Instagram ha premiato il ricercatore con $ 30.000 come ricompensa per aver scovato una importante vulnerabilità di instagram. Tali attività e cioè offrire ad esterni ricompense per scoprire vulnerabilità sui propri prodotti, sono portate avanti da moltissime aziende e prendono il nome di Big Bounty.

Ecco le specifiche della ricerca. LINK

Riportiamo per dovere di cronca il video esplicativo di Laxaman. Ovviamente si scoraggia l’utilizzo di tali tecniche.

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati:

  • Come evitare il phishing su Instagram
    Come evitare il phishing su Instagram
  • Quando l’attacco viene dal bagno. Violato fisicamente un data center protetto
    Quando l’attacco viene dal bagno. Violato fisicamente un…
  • Instagram: 5 truffe comuni e come evitarle
    Instagram: 5 truffe comuni e come evitarle
  • Gli account Facebook e Instagram della Disney sono stati hackerati
    Gli account Facebook e Instagram della Disney sono stati…
2019-07-16
Previous Post: eCh0raix il nuovo ransomware che attacca i NAS (Network-attached Storage)
Next Post: UK.L’NCSC pubblica il nuovo Report sugli attacchi informatici sventati

In Primo Piano

  • ENISA pubblica due report su eSIM e fog e edge computing nel 5G
  • WhatsApp e Telegram: app trojanizzate attaccano i portafogli di criptovalute per rubare fondi
  • Microsoft patch: 80 vulnerabilità tra queste anche due di tipo zero-day, di cui una in Outlook

Articoli

  • Processi di attribuzione, sicurezza del cyberspazio ed equità: aspetti interrelati nell’era del web

Copyright © 2023
Cookies Policy | Privacy Policy

error:

Utilizziamo i cookie per offrirti un servizio migliore nel navigare il nostro sito web.

Puoi scoprire di più su quali cookie stiamo utilizzando o disattivarli nelle impostazioni.

Offerta da  GDPR Cookie Compliance
Informazioni sulla Privacy

Questo sito Web utilizza i cookie per consentirci di offrire il miglior servizio possibile all'utente nel navigare il nostro sito. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando visiti nuovamente il nostro sito web, aiutando il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.

È possibile abilitare o disabilitare tutte le impostazioni dei cookie navigando le schede sul lato sinistro.