Trang chủ Tản mạn Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Một chuyên gia bảo mật người Bỉ là Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram cho dò mật khẩu không giới hạn dẫn đến khả năng tài khoản bị chiếm đoạt. Cả 2 lỗi bảo mật này đều xuất phát từ chính sách mật khẩu lỏng lẻo và thiếu thực tế khi số lượng người dùng tăng lên.

hacking-instagram-account

Sử dụng API đăng nhập trên di động

Swinnen phát hiện ra rằng những kẻ tấn công có thể thực hiện cuộc tấn công vào bất kỳ tài khoản Instagram thông qua URL xác thực API Android của nó, do việc triển khai bảo mật không đúng. Swinnen mô tả rằng trong 1000 lần thử sai mật khẩu đầu tiên với API đăng nhập cho di động thì Instagram sẽ trả về kết quả “Password you entered is incorrect” (mật khẩu bạn nhập không đúng) nhưng với 1000 lần thử tiếp theo máy chủ sẽ trả về kết quả “Username not found” (tên người dùng không tìm thấy). Và cứ tiếp tục như vậy thì 2 giá trị máy chủ phản hồi sẽ đan xen nhau cứ mỗi 1000 lần sai.

Và như vậy tin tặc có thể vượt qua cơ chế này bằng cách kết hợp mật khẩu để bỏ qua bước phản hồi “Username not found” không có giá trị.

Lỗ hổng bảo mật này được Swinnen phát hiện và báo cáo cho Facebook vào cuối tháng 12/2015.

Sử dụng hệ thống đăng ký trên nền Web

Lỗ hổng bảo mật thứ hai cũng liên quan đến vấn đề thử mật khẩu ảnh hưởng đến trang web đăng ký Instagram được phát hiện và báo cáo cho Facebook vào tháng 5/2016 các chuyên gia bảo mật cùng nhóm.

Lỗ hổng này cho phép kẻ tấn công để thực hiện một cuộc tấn công dò mã ở mức đơn giản trên các thiết bị đầu cuối dùng để đăng ký tài khoản Instagram trên nền web và nó thậm chí không cần kích hoạt tài khoản với khóa xác nhận hoặc một phương pháp bảo mật khác.

Swinnen đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại các yêu cầu HTTP gửi trong đăng ký. Tuy nhiên, sau khi thử gửi lại một yêu cầu khác nhưng loại bỏ các thông số username và password, ông đã nhận được một phản hồi báo lỗi là “Those credentials belong to an active Instagram account.” – Những thông tin thuộc về một tài khoản Instagram hoạt động. Vì Instagram không có giới hạn số lượt đăng ký nên hacker có thể gửi 10.000 yêu cầu với tên người dùng và mật khẩu để tìm mật khẩu chính xác.

Facebook đã trao thưởng $5000 cho người tìm ra lỗi và đã thực hiện vá các lỗi bảo mật đã công bố ở trên. Hiện tại Instagram không còn cho phép người dùng lựa chọn mật khẩu đơn giản mà đòi hỏi mật khẩu là một sự kết hợp của các con số, chữ cái, và chấm câu. Công ty cũng khuyến cáo mật khẩu Instagram không được sử dụng ở những nơi khác trên mạng.

Huỳnh Mai Anh Kiệt (THN)

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Kiểm tra trình duyệt của khách có phải là Safari bằng PHP

Hôm rồi chợt nhận ra điều là Safari của Apple chưa hỗ trợ hiển thị ảnh WebP. Vậy là cái plugin Hura Apps Photos...

GitHub mua lại nền tảng npm

npm là đóng một phần quan trọng trong cộng đồng JavaScript. Cộng đồng npm trong 10 năm qua là sự đóng góp của hàng...

Youtube cho phép quảng cáo trên video có nội dung liên quan đến Covid-19

Trong một bài đăng trên blog, CEO Susan Wojcicki cho biết YouTube sẽ bắt đầu cho phép chạy quảng cáo trên các video thảo...

Kiểm tra khả năng bị lây nhiễm Covid-19 của bạn bằng trí tuệ nhân tạo

Trong bối cảnh Covid-19 đang lan rộng và khả năng lây nhiễm rất cao khi ta vô tình tiếp xúc với các người bị...

10 lời đồn sai về Covid-19

1. Ai nhiễm Covid-19 sẽ chết - Tỉ lệ tử vong hiện nay khoảng 3.4%. Người càng lớn tuổi tỉ lệ tử vong sẽ cao...

BẠN XEM CHƯA

Ba việc không nên giúp và ba chuyện không nên nghĩ

BA VIỆC KHÔNG NÊN GIÚP 1. Việc vượt quá khả năng Có câu: "Sức hèn chớ vác nặng, lời nói không trọng lượng chớ khuyên ai". Giúp...

Mẹo sửa Registry để tăng tốc chép dữ liệu giữa máy tính và USB

Đầu tiên bạn tải gói tin mang tên KB2581464 tại địa chỉ: http://tinyurl.com/mc9r392. Và tiến hành cài đặt bình thường. Sau đó khởi động...

Tạo và sử dụng nhiều màn hình ảo đơn giản với Virtuawin

Bạn cần nhiều không gian màn hình hơn trên một chiếc máy tính thì desktop ảo là giải pháp tối ưu nhất và ít...

Tương tác trên màn hình rộng của Youtube

Trước đây khi xem video trên Youtube ở chế độ đầy màn hình (full screen), bạn không thể tuỳ chọn các video...

Nhận 40 USD cho lần thanh toán tiếp theo tại iPage quá đơn giản

Bạn đang sử dụng dịch vụ hosting lưu trữ tại iPage. Bạn sẽ có cơ hội nhận được 40USD để có thể sử dụng...