Milyonlarca kullanıcısı olan fotoğraf paylaşım uygulaması Instagram’da siber saldırganların hesapları ele geçirmesine izin veren bir güvenlik açığı bulunduğu ve açığın yakın zaman önce kapatıldığı açıklandı.
Facebook tarafından satin alınan Instagram’da bulunan güvenlik açığının istismar edilmesi için siber saldırganların hedeflenen kullanıcıyla her hangi bir etkileşime girmesi gerekmiyor. Güvenlik açığını kullanan saldırgan kolay bir şekilde kullanıcıların parolasını değiştirebiliyor ve hesabın kontrolünü ele geçirebiliyor.
Güvenlik açığını bularak Facebook ve Instagram’ın güvenlik ekibine bildiren Hint ödül avcısı Laxman Muthiyah açığı Instagram’ın mobil uygulamasında ‘parolamı unuttum’ kısmında bazı ‘yeni şeyler’ deneyerek bulduğunu açıkladı. Instagram’a zaafiyeti ve nasıl istismar edileceğini anlatan ve 30 bin dolar ödül kazanan Muthiyah, açığı nasıl istismar ettiğini ayrıntılı şekilde yayınladığı yazıda açıkladı.
İHTİYACINIZ OLAN 150 DOLAR VE 5 BİN IP ADRESİ
Muthiyah’ın bildirdiği güvenlik zaafiyeti bir kullanıcının mobil uygulama üzerinden parolasını unutması ve yeni parola belirleme talebi göndermesiyle ortaya çıkıyor. Ödül avcısı Instagram tarafından gönderilen 6 haneli kodun 200 bin kombinasyonla doğru şekilde bulunabileceğini fark ediyor. Instagram’ın bu noktada en büyük açığı bir deneme limiti olmasına ragmen farklı IP adreslerinden gönderilen talepleri sınırlamaması.
Muthiyah’ın açıklamasına göre bir Instagram hesabını ele geçirmek isteyen siber saldırganın 5 bin farklı IP adresine ihtiyaç duyuyor. Bu IP adreslerinden yapılan Kaba Kuvvet Saldırısı (Brute Force) sayesinde doğru kod bulunuyor ve hedefteki Instagram kullanıcısının haberi bile olmadan paraolası değiştirilerek hesabı ele geçiriliyor. 5 bin farklı IP adresini kontrol etmek için gereken ise sadece 150 dolar. Muthiyah Amazon ve Google gibi bulut sunucu sağlayıcılarından 150 dolar karşılığında gerekli hizmetin alınabileceğini belirtti.