一名独立研究人员Laxman Muthiyah本周披露了他如何破解了Instagram(IG)社交网站的密码恢复程序,可取得任何IG用户的登录凭证,还得到了脸书(Facebook)所颁发的3万美元漏洞挖掘奖金。
Muthiyah说,他一开始就想寻找IG的密码重设漏洞,先试着在IG的网页重设密码,但几分钟之后就觉得该服务的安全机制颇为强大,于是转向IG的行动帐号恢复程序。
当用户要求以移动设备接受IG的密码重设服务时,会收到IG所发送的6位数密码,用户可先输入该密码,再变更成自己的密码。
于是Muthiyah决定采用暴力破解法来猜测该6位数密码。该6位数密码的有效时间只有10分钟,且Muthiyah发现该机制的两个重要bug,一是它允许单一IP连续输入200次的错误密码,二是它并无黑名单的设计,也即不会封锁持续输入错误的IP,但若要确保成功必须在10分钟内尝试100万种组合。
因此,Muthiyah使用了1,000台不同的机器同时针对同一个帐号测试密码,在10分钟内即可测试20万种组合,假设黑客通过各种云计算服务以5,000台机器展开攻击,很容易就能取得任何IG用户的密码,花费大概是150美元。
Muthiyah并未说明该如何触动密码重设机制或是收到IG发送的密码,仅是展示如何用他的1,000台机器测试20万组密码,就得到了脸书的3万美元奖励。