Hacker könnten durch einen Fehler im System zum Zurücksetzen von Passwörtern in jedes Instagram-Konto eingebrochen sein
Die meisten Facebook-Nutzer haben wahrscheinlich keine Ahnung, wer Laxman Muthiyah ist, was schade ist, weil sie nicht wissen, wie viel er zum Schutz ihrer Privatsphäre getan hat. Laxman Muthiyah ist ein Webentwickler und Sicherheitsforscher aus Indien, der im größten sozialen Netzwerk der Welt einige schwerwiegende Sicherheitslücken entdeckt hat. Im Februar 2015 fand er beispielsweise heraus, dass er mit Hilfe eines leicht erhältlichen Zugriffstokens und der Identifikationsnummer eines Facebook-Albums Ihre Fotos ohne Ihre Zustimmung löschen könnte. Ungefähr einen Monat später entdeckte er einen weiteren Fehler in den mobilen Anwendungen von Facebook, der es jedem ermöglichte, private Bilder auf Ihrem Telefon anzusehen.
Muthiyah hat einige andere Facebook-Bugs entdeckt und vor kurzem beschlossen, einen Blick auf Mark Zuckerbergs andere beliebte Plattformen zu werfen. Instagram war der erste auf der Liste, und nachdem Muthiyah seinen Mechanismus zum Zurücksetzen von Passwörtern durchgesehen hatte, fand er einen Fehler, der motivierten Hackern erlaubt hätte, jeden Instagram-Account zu übernehmen, den sie sich vorstellen.
Table of Contents
Die verschiedenen Passwort-Reset-Mechanismen von Instagram
Instagram-Passwörter können sowohl über den Browser als auch über die mobile Anwendung des sozialen Netzwerks zurückgesetzt werden. Im Browser ist der Mechanismus altmodisch und einfach - Sie klicken auf "Passwort vergessen?" Link, geben Sie den Benutzernamen Ihres Kontos ein und ein Link zum Zurücksetzen des Passworts wird an Ihre E-Mail gesendet. Solange Sie Zugriff auf Ihre E-Mail-Adresse haben, sollte es Ihnen gut gehen.
Bei mobilen Geräten sieht das etwas anders aus. Nachdem Sie den Vorgang zum Zurücksetzen des Passworts eingeleitet haben, sendet Instagram eine Textnachricht mit einem sechsstelligen Passcode an die mit Ihrem Konto verknüpfte Telefonnummer. Sie geben den Passcode ein und können in der Anwendung ein neues Passwort vergeben.
Der Passcode in der SMS läuft nach zehn Minuten ab und es gibt eine Höchstrate für die Anzahl falscher Codes, die Sie innerhalb kurzer Zeit von derselben IP-Adresse aus eingeben können. Das System wurde auf diese Weise entwickelt, um sicherzustellen, dass ein Cyberkrimineller keine rohe Gewalt anwenden kann, um den sechsstelligen Code zu erraten. So dachten es jedenfalls die Leute, die es eingeführt hatten.
Instagram's fleckiger Brute-Force-Schutz
Laxman Muthiyah vermutete, dass es einen Ausweg aus Instagrams Brute-Force-Schutz geben könnte, und um zu bestätigen, ob dies wirklich der Fall war oder nicht, musste er etwas Aufklärung betreiben. Er erstellte einen gefälschten Account, leitete ein Verfahren zum Zurücksetzen des Passworts ein und schrieb ein Skript, das automatisch 1.000 verschiedene zufällige sechsstellige Codes in schneller Folge ausprobierte. 750 von ihnen wurden abgelehnt, was Muthiyah das Ratenlimit gab - 250 Anfragen pro IP-Adresse. Dann wurde ihm jedoch klar, dass er von derselben Adresse aus weitere 1.000 Anfragen senden konnte. Das Tariflimit würde erneut drei Viertel von ihnen ungültig machen, aber die IP würde nicht auf die schwarze Liste gesetzt.
Nach einigem Kopfkratzen stellte er fest, dass er es könnte, wenn er die Kontrolle über eine große Anzahl von IPs hätte und eine sogenannte Race Condition auslösen könnte (unerwünschtes Verhalten eines Computersystems, nachdem mehrere Aufgaben gleichzeitig ausgeführt werden sollen) Probieren Sie in relativ kurzer Zeit viele verschiedene sechsstellige Kombinationen aus, ohne das Ratenlimit zu überschreiten.
Um dies zu beweisen, sendete er knapp 200.000 Anfragen mit 1.000 verschiedenen IP-Adressen, und sein Proof-of-Concept-Video zeigt, dass alle bis auf 770 durchgingen. Ein sechsstelliger Passcode hat insgesamt 1 Million mögliche Kombinationen, was bedeutet, dass Angreifer, wenn sie Anfragen von 5.000 IPs senden können, so gut wie die erfolgreiche Erzwingung des alles entscheidenden Codes garantieren können.
150 US-Dollar für die Übernahme eines einzelnen Instagram-Kontos. Ist es das wert?
5.000 IPs klingen nach einer Menge, aber Muthiyah errechnete, dass dank moderner Cloud-Dienste von Amazon und Google das Mieten einer ähnlichen Anzahl von Adressen etwa 150 US-Dollar kosten würde. Werden Kriminelle daran interessiert sein, 150 Dollar zu zahlen, um ein Konto einer Person zu entführen, die ihre Selfies mit Freunden und Familie teilt? Es scheint unwahrscheinlich. Wenn das Ziel jedoch einer der sogenannten Instagram-Influencer ist, sieht die Geschichte anders aus.
Wir sprechen über Benutzer mit Hunderttausenden oder sogar Millionen von Followern, die bereit sind, auf jeden Link zu klicken, den sie sehen. Das Potenzial für Chaos ist nahezu unbegrenzt, weshalb sich Muthiyah sofort mit Instagram in Verbindung setzte, als er von dem Fehler erfuhr, und es muss gesagt werden, dass die Reaktion des Photo-Sharing-Netzwerks kaum Wünsche offen ließ.
Die Sicherheitsanfälligkeit wurde schnell behoben, und Laxman Muthiyah erhielt eine Prämie von 30.000 USD für das Auffinden und Weitergeben der wichtigen Informationen. Dies ist das Neueste in einer langen Reihe von Kopfgeldern, die Muthiyah für seine Arbeit erhalten hat. Die Benutzer sollten für seine Bemühungen dankbar sein und hoffen, dass er den Cyberkriminellen bei der Aufdeckung der Fehler weiterhin einen Schritt voraus ist.
