Hackers Could Have Broken into Any Instagram Account Through a Flaw in the Password Reset System

大多数Facebook用户可能不知道Laxman Muthiyah是谁，这是一种耻辱，因为他们不知道他为保护他们的隐私做了多少工作。 Laxman Muthiyah是来自印度的网络开发人员和安全研究员，他在世界上最大的社交网络中发现了相当多的严重漏洞。例如，在2015年2月，他发现在借助易于获取的访问令牌和Facebook相册的识别号码的情况下，他可以在未经您同意的情况下删除您的照片。大约一个月后，他发现了Facebook移动应用程序的另一个漏洞，允许任何人查看手机上的私人照片。

Muthiyah发现了其他一些Facebook漏洞，他最近决定看看Mark Zuckerberg的其他流行平台是如何做的。 Instagram是排在榜单上的第一个，当然，在通过密码重置机制之后，Muthiyah 发现了一个错误，可以让有动力的黑客接管他们想要的任何Instagram帐户。

Table of Contents

Instagram的不同密码重置机制

Instagram密码可以通过浏览器和社交网络的移动应用程序重置。在浏览器中，该机制过时而且简单 - 您单击“忘记密码？”链接，您输入帐户的用户名，密码重置链接将发送到您的电子邮件。只要您有权访问您的电子邮件地址，您就可以了。

在移动设备上，情况有所不同。启动密码重置程序后，Instagram会向与您的帐户关联的电话号码发送带有六位数密码的短信。您提供密码，应用程序允许您分配新密码。

短信中的密码在十分钟后过期，并且在短时间内可以从同一IP输入多少错误代码的速率限制。该系统的设计是为了确保网络犯罪分子不能使用蛮力来尝试猜测六位数代码。无论如何，这就是那些把它放到位的人的想法。

Instagram的参差不齐的蛮力保护

Laxman Muthiyah怀疑可能有一种方法可以绕过Instagram的暴力保护，并确认是否真的如此，他需要做一些侦察。他创建了一个虚假帐户，启动了密码重置程序，并编写了一个脚本，可以快速连续地自动尝试1,000个不同的随机六位数代码。其中750人被拒绝，这给了Muthiyah的速率限制 - 每个IP地址250个请求。然而，他意识到他可以从同一地址发送另外1,000个请求. 速率限制将再次使其四分之三无效，但知识产权不会被列入黑名单。

在经历了一些令人头疼的事后，他想通了如果他能够控制大量的IP并且他能够触发一些被称为竞争状态的东西（在被要求同时执行多项任务之后计算机系统出现不良行为），他可以在相对较短的时间内尝试许多不同的六位数组合，而不会达到速率限制。

为了证明他的观点，他使用了1,000种不同的IP来发送不到200,000个请求，他的概念验证视频显示除了770个之外的其他所有请求都通过了。一个六位数的密码总共有100万个可能的组合，这意味着如果攻击者可以从5,000个IP发送请求，他们几乎可以保证成功地强制执行所有重要的代码。