Milyonlarca kullanıcısı olan sosyal medya uygulaması Instagram’da siber saldırganların hesapları ele geçirmesine izin veren bir güvenlik açığı bulunduğu ve yakın zaman önce kapatıldığı açıklandı.
KARAR.COM
Facebook tarafından satın alınan Instagram’da bulunan güvenlik açığının ortaya çıkması için siber saldırganların hedeflenen kullanıcıyla her hangi bir etkileşime girmesi gerekmiyor. Güvenlik açığını kullanan saldırgan kolay bir şekilde kullanıcıların parolasını değiştirebiliyor ve hesabın kontrolünü ele geçirebiliyor.
Güvenlik açığını bularak Facebook ve Instagram’ın güvenlik ekibine bildiren Hint ödül avcısı Laxman Muthiyah, açığı Instagram’ın mobil uygulamasında ‘parolamı unuttum’ kısmında bazı ‘yeni şeyler’ deneyerek bulduğunu açıkladı. Instagram’a zaafiyeti ve nasıl istismar edileceğini anlatan ve 30 bin dolar ödül kazanan Muthiyah, açığı nasıl ortaya çıkardığını ettiğini ayrıntılı şekilde yayınladığı yazıda açıkladı.
İHTİYACINIZ OLAN 150 DOLAR VE 5 BİN IP ADRESİ
Muthiyah’ın bildirdiği güvenlik zaafiyeti bir kullanıcının mobil uygulama üzerinden parolasını unutması ve yeni parola belirleme talebi göndermesiyle ortaya çıkıyor. Ödül avcısı Instagram tarafından gönderilen 6 haneli kodun 200 bin kombinasyonla doğru şekilde bulunabileceğini fark ediyor. Instagram’ın bu noktada en büyük açığı bir deneme limiti olmasına ragmen farklı IP adreslerinden gönderilen talepleri sınırlamaması.
Muthiyah’ın açıklamasına göre bir Instagram hesabını ele geçirmek isteyen siber saldırgan, 5 bin farklı IP adresine ihtiyaç duyuyor. Bu IP adreslerinden yapılan Kaba Kuvvet Saldırısı (Brute Force) sayesinde doğru kod bulunuyor ve hedefteki Instagram kullanıcısının haberi bile olmadan paraolası değiştirilerek hesabı ele geçiriliyor. 5 bin farklı IP adresini kontrol etmek için gereken ise sadece 150 dolar. Muthiyah Amazon ve Google gibi bulut sunucu sağlayıcılarından 150 dolar karşılığında gerekli hizmetin alınabileceğini belirtti.
