Trang chủ Tản mạn Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Một chuyên gia bảo mật người Bỉ là Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram cho dò mật khẩu không giới hạn dẫn đến khả năng tài khoản bị chiếm đoạt. Cả 2 lỗi bảo mật này đều xuất phát từ chính sách mật khẩu lỏng lẻo và thiếu thực tế khi số lượng người dùng tăng lên.

hacking-instagram-account

Sử dụng API đăng nhập trên di động

Swinnen phát hiện ra rằng những kẻ tấn công có thể thực hiện cuộc tấn công vào bất kỳ tài khoản Instagram thông qua URL xác thực API Android của nó, do việc triển khai bảo mật không đúng. Swinnen mô tả rằng trong 1000 lần thử sai mật khẩu đầu tiên với API đăng nhập cho di động thì Instagram sẽ trả về kết quả “Password you entered is incorrect” (mật khẩu bạn nhập không đúng) nhưng với 1000 lần thử tiếp theo máy chủ sẽ trả về kết quả “Username not found” (tên người dùng không tìm thấy). Và cứ tiếp tục như vậy thì 2 giá trị máy chủ phản hồi sẽ đan xen nhau cứ mỗi 1000 lần sai.

Và như vậy tin tặc có thể vượt qua cơ chế này bằng cách kết hợp mật khẩu để bỏ qua bước phản hồi “Username not found” không có giá trị.

Lỗ hổng bảo mật này được Swinnen phát hiện và báo cáo cho Facebook vào cuối tháng 12/2015.

Sử dụng hệ thống đăng ký trên nền Web

Lỗ hổng bảo mật thứ hai cũng liên quan đến vấn đề thử mật khẩu ảnh hưởng đến trang web đăng ký Instagram được phát hiện và báo cáo cho Facebook vào tháng 5/2016 các chuyên gia bảo mật cùng nhóm.

Lỗ hổng này cho phép kẻ tấn công để thực hiện một cuộc tấn công dò mã ở mức đơn giản trên các thiết bị đầu cuối dùng để đăng ký tài khoản Instagram trên nền web và nó thậm chí không cần kích hoạt tài khoản với khóa xác nhận hoặc một phương pháp bảo mật khác.

Swinnen đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại các yêu cầu HTTP gửi trong đăng ký. Tuy nhiên, sau khi thử gửi lại một yêu cầu khác nhưng loại bỏ các thông số username và password, ông đã nhận được một phản hồi báo lỗi là “Those credentials belong to an active Instagram account.” – Những thông tin thuộc về một tài khoản Instagram hoạt động. Vì Instagram không có giới hạn số lượt đăng ký nên hacker có thể gửi 10.000 yêu cầu với tên người dùng và mật khẩu để tìm mật khẩu chính xác.

Facebook đã trao thưởng $5000 cho người tìm ra lỗi và đã thực hiện vá các lỗi bảo mật đã công bố ở trên. Hiện tại Instagram không còn cho phép người dùng lựa chọn mật khẩu đơn giản mà đòi hỏi mật khẩu là một sự kết hợp của các con số, chữ cái, và chấm câu. Công ty cũng khuyến cáo mật khẩu Instagram không được sử dụng ở những nơi khác trên mạng.

Huỳnh Mai Anh Kiệt (THN)

- Advertisement -
Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Google sắp khai tử ứng dụng Google Shopping trên iOS và Android

Google được cho là đã thêm Google Shopping vào danh sách các ứng dụng sắp khai tử của mình. Sau khi các thành viên...

Google Pixel 5A 5G vẫn sẽ ra mắt vào cuối năm nay

Thứ Sáu tuần trước, Google cho biết sẽ ra mắt điện thoại tầm trung Pixel 5A vào cuối năm nay, bác bỏ tin đồn...

Facebook chi 23 triệu đô la để bảo vệ Mark Zuckerberg

Facebook đã chi hơn 23 triệu USD để bảo vệ cho Mark Zuckerberg - CEO và là người sáng lập Facebook vào năm ngoái....

Cách tùy chỉnh công cụ tìm kiếm trong Firefox

Bạn có thể sử dụng bất kỳ công cụ tìm kiếm nào mà bạn thích trong trình duyệt web của mình. Và bạn cũng...

12 cách khắc phục con trỏ chuột không hiển thị trong Windows 10

Con trỏ chuột đã trở thành một phần không thể thiếu trong quá trình chúng ta tương tác với máy tính. Vì vậy, hãy...

BẠN XEM CHƯA

Xem mật khẩu wifi bằng dòng lệnh

Nếu bạn quên mật khẩu wifi của chính mình, không sao cả, bạn có thể xem lại nó bằng dòng lệnh netsh wlan show...

Danh sách các ứng dụng chưa được phát hành trên Play Store

Nếu bạn đang tìm một ứng dụng cần dùng hoặc thích xài các ứng dụng mới nhưng không tìm thấy trong kho ứng dụng...

Kiểm tra cấp số cộng và cấp số nhân trong các hàng của ma trận

Hôm nay mình sẽ cùng các bạn giải quyết yêu cầu: Nhập vào một ma trận và kiểm tra xem hàng nào của ma...

Tìm kiếm hình ảnh trên Google

Hiện nay việc tìm kiếm thông tin hình ảnh thậm chí là video trên trang web tìm kiếm Google khá dễ dàng. Dường như...

Vua chọn vợ bằng câu đố

Cổ ngữ có câu: “Lấy vợ coi trọng hiền đức”. Bậc thánh nhân và những người có phẩm hạnh đạo đức cao thượng đều...