Об этом пишет Forbes.

В частности, Лаксман Мутия обнаружил ошибку в мобильной версии системы сброса пароля Instagram. Когда пользователь хочет сбросить свой пароль, Instagram пытается подтвердить его личность, отправив 6-значный код на привязанный номер телефона.

— Шестизначный код - это детская игра для хакера, обладающего любым вычислительным потенциалом, поэтому в Instagram есть система, способная обнаруживать атаки методом грубой силы, - отметил Лаксман Мутия.

По его данным, из 1000 попыток около 75 % были заблокированы.

Однако хакер нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа. В частности, он засыпал Instagram 200 тысячами кодов с 1000 разных IP-адресов. Лаксман Мутия отмечает, что с помощью облачных инструментов эта задача очень проста.

По его оценкам, взлом страницы в соцсети стоил бы около $150.

Впоследствии в Instagram заявили, что исправили эту ошибку. В итоге специалист получил $30 тысяч от соцсети в качестве награды за нахождение уязвимости.

Напомним, новое исследование Symantec выявило опасную уязвимость Media File Jacking, которая затрагивает мессенджеры WhatsApp и Telegram для Android.