Trang chủ Tản mạn Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Một chuyên gia bảo mật người Bỉ là Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram cho dò mật khẩu không giới hạn dẫn đến khả năng tài khoản bị chiếm đoạt. Cả 2 lỗi bảo mật này đều xuất phát từ chính sách mật khẩu lỏng lẻo và thiếu thực tế khi số lượng người dùng tăng lên.

hacking-instagram-account

Sử dụng API đăng nhập trên di động

Swinnen phát hiện ra rằng những kẻ tấn công có thể thực hiện cuộc tấn công vào bất kỳ tài khoản Instagram thông qua URL xác thực API Android của nó, do việc triển khai bảo mật không đúng. Swinnen mô tả rằng trong 1000 lần thử sai mật khẩu đầu tiên với API đăng nhập cho di động thì Instagram sẽ trả về kết quả “Password you entered is incorrect” (mật khẩu bạn nhập không đúng) nhưng với 1000 lần thử tiếp theo máy chủ sẽ trả về kết quả “Username not found” (tên người dùng không tìm thấy). Và cứ tiếp tục như vậy thì 2 giá trị máy chủ phản hồi sẽ đan xen nhau cứ mỗi 1000 lần sai.

Và như vậy tin tặc có thể vượt qua cơ chế này bằng cách kết hợp mật khẩu để bỏ qua bước phản hồi “Username not found” không có giá trị.

Lỗ hổng bảo mật này được Swinnen phát hiện và báo cáo cho Facebook vào cuối tháng 12/2015.

Sử dụng hệ thống đăng ký trên nền Web

Lỗ hổng bảo mật thứ hai cũng liên quan đến vấn đề thử mật khẩu ảnh hưởng đến trang web đăng ký Instagram được phát hiện và báo cáo cho Facebook vào tháng 5/2016 các chuyên gia bảo mật cùng nhóm.

Lỗ hổng này cho phép kẻ tấn công để thực hiện một cuộc tấn công dò mã ở mức đơn giản trên các thiết bị đầu cuối dùng để đăng ký tài khoản Instagram trên nền web và nó thậm chí không cần kích hoạt tài khoản với khóa xác nhận hoặc một phương pháp bảo mật khác.

Swinnen đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại các yêu cầu HTTP gửi trong đăng ký. Tuy nhiên, sau khi thử gửi lại một yêu cầu khác nhưng loại bỏ các thông số username và password, ông đã nhận được một phản hồi báo lỗi là “Those credentials belong to an active Instagram account.” – Những thông tin thuộc về một tài khoản Instagram hoạt động. Vì Instagram không có giới hạn số lượt đăng ký nên hacker có thể gửi 10.000 yêu cầu với tên người dùng và mật khẩu để tìm mật khẩu chính xác.

Facebook đã trao thưởng $5000 cho người tìm ra lỗi và đã thực hiện vá các lỗi bảo mật đã công bố ở trên. Hiện tại Instagram không còn cho phép người dùng lựa chọn mật khẩu đơn giản mà đòi hỏi mật khẩu là một sự kết hợp của các con số, chữ cái, và chấm câu. Công ty cũng khuyến cáo mật khẩu Instagram không được sử dụng ở những nơi khác trên mạng.

Huỳnh Mai Anh Kiệt (THN)

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Hướng dẫn tạo ảnh hoạt hình từ ảnh thật với ToonMe

Bạn có tò mò muốn biết bản thân mình sẽ như thế nào khi trong vai một nhân vật hoạt hình không? Không cần...

Top Các Chuyên Gia Shopify Ở Việt Nam

Shopify là nền tảng thương mại điện tử cho phép dễ dàng tạo ra các trang web bán hàng online cho do doanh nghiệp...

Hỗ trợ tốt là dịch vụ tốt, sản phẩm tốt?

Sáng nay nhận được email thông báo tên miền hết hạn từ 1 dịch vụ trong nước. Mình lập tức đăng nhập vào để...

TinyURL có giao diện mới và bổ sung các tính năng mới

TinyURL được biết đến là trang web hỗ trợ rút gọn link số 1 của thế giới. Trải qua bao nhiêu năm thì giao...

Facebook, Apple tố cáo lẫn nhau trục lợi từ thu thập dữ liệu người dùng

Trong một bức thư gửi những người ủng hộ quyền riêng tư, apple cho biết họ sẽ triển khai việc "theo dõi tính minh...

BẠN XEM CHƯA

Một số hàm mã hóa ký tự sẵn dùng trong PHP

Hôm nay đụng một dự án có vấn đề như sau: người dùng sẽ nhập dữ liệu từ các form vào và dữ liệu...

Cách bỏ qua màn hình đăng nhập Windows 10

Khi nâng cấp lên Windows 10 có thể vài trường hợp xảy ra tình trạng khi khởi động Windows sẽ không vào thẳng màn...

ShortLink – Mã nguồn dịch vụ rút gọn link ngôn ngữ ASP.Net

ShortLink là mã nguồn giúp bạn tạo một dịch vụ thu gọn link được viết bằng ngôn ngữ ASP.Net. DEMO DOWNLOAD Huỳnh Mai Anh Kiệt

Hịch giáo dục

Ta cùng các ngươi Sinh ra phải thời bao cấp Lớn lên gặp buổi thị trường. Trông thấy Mỹ phóng Con thoi lên vũ trụ chín tầng Nga lặn...

Cháo ếch Singapore Kim Hải – Quy Nhơn

Cháo ếch Singapore là món ăn nổi tiếng của quốc đảo sư tử. Hiện tại bạn có thể thưởng thức món ăn này tại...