Trang chủ Tản mạn Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Tin tặc tìm ra 2 cách để hack tài khoản Instagram

Một chuyên gia bảo mật người Bỉ là Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram cho dò mật khẩu không giới hạn dẫn đến khả năng tài khoản bị chiếm đoạt. Cả 2 lỗi bảo mật này đều xuất phát từ chính sách mật khẩu lỏng lẻo và thiếu thực tế khi số lượng người dùng tăng lên.

hacking-instagram-account

Sử dụng API đăng nhập trên di động

Swinnen phát hiện ra rằng những kẻ tấn công có thể thực hiện cuộc tấn công vào bất kỳ tài khoản Instagram thông qua URL xác thực API Android của nó, do việc triển khai bảo mật không đúng. Swinnen mô tả rằng trong 1000 lần thử sai mật khẩu đầu tiên với API đăng nhập cho di động thì Instagram sẽ trả về kết quả “Password you entered is incorrect” (mật khẩu bạn nhập không đúng) nhưng với 1000 lần thử tiếp theo máy chủ sẽ trả về kết quả “Username not found” (tên người dùng không tìm thấy). Và cứ tiếp tục như vậy thì 2 giá trị máy chủ phản hồi sẽ đan xen nhau cứ mỗi 1000 lần sai.

Và như vậy tin tặc có thể vượt qua cơ chế này bằng cách kết hợp mật khẩu để bỏ qua bước phản hồi “Username not found” không có giá trị.

Lỗ hổng bảo mật này được Swinnen phát hiện và báo cáo cho Facebook vào cuối tháng 12/2015.

Sử dụng hệ thống đăng ký trên nền Web

Lỗ hổng bảo mật thứ hai cũng liên quan đến vấn đề thử mật khẩu ảnh hưởng đến trang web đăng ký Instagram được phát hiện và báo cáo cho Facebook vào tháng 5/2016 các chuyên gia bảo mật cùng nhóm.

Lỗ hổng này cho phép kẻ tấn công để thực hiện một cuộc tấn công dò mã ở mức đơn giản trên các thiết bị đầu cuối dùng để đăng ký tài khoản Instagram trên nền web và nó thậm chí không cần kích hoạt tài khoản với khóa xác nhận hoặc một phương pháp bảo mật khác.

Swinnen đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại các yêu cầu HTTP gửi trong đăng ký. Tuy nhiên, sau khi thử gửi lại một yêu cầu khác nhưng loại bỏ các thông số username và password, ông đã nhận được một phản hồi báo lỗi là “Those credentials belong to an active Instagram account.” – Những thông tin thuộc về một tài khoản Instagram hoạt động. Vì Instagram không có giới hạn số lượt đăng ký nên hacker có thể gửi 10.000 yêu cầu với tên người dùng và mật khẩu để tìm mật khẩu chính xác.

Facebook đã trao thưởng $5000 cho người tìm ra lỗi và đã thực hiện vá các lỗi bảo mật đã công bố ở trên. Hiện tại Instagram không còn cho phép người dùng lựa chọn mật khẩu đơn giản mà đòi hỏi mật khẩu là một sự kết hợp của các con số, chữ cái, và chấm câu. Công ty cũng khuyến cáo mật khẩu Instagram không được sử dụng ở những nơi khác trên mạng.

Huỳnh Mai Anh Kiệt (THN)

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Nền tảng trực tuyến cho phép bạn thiết lập trang web chỉ trong vài phút

Bất kỳ doanh nghiệp nào hiện nay cũng đều cần một trang web. Tuy nhiên, không phải ai cũng có đủ chuyên môn kỹ...

Chuyên gia bảo mật người Việt phát hiện lỗ hổng bảo mật trên hệ điều hành Windows

Vừa qua, anh Lê Hữu Quang Linh (linhlhq) - chuyên gia bảo mật của Trung tâm Giám sát an toàn không gian mạng quốc...

Hẹn hò theo “phong cách nhà giàu” với Tesla Dating

Mới đây, tờ Business Insider vừa tiết lộ rằng một ứng dụng hẹn hò mang tên Tesla Dating sắp được ra mắt bởi Ajitpal...

Internet Explorer chính thức bị khai tử sau 25 năm

Trong bài đăng trên trang blog chính thức vào hôm thứ hai (17/8), Microsoft công bố họ sẽ không còn tiếp tục hỗ trợ...

PayPal lần đầu tiên bổ nhiệm giám đốc điều hành ở Trung Quốc

PayPal liên tiếp có những động thái cho thấy nền tảng thanh toán trực tuyến hàng đầu thế giới này sẽ tiếp cận thị...

BẠN XEM CHƯA

Mã nguồn trò chơi Sudoku cho Android

Sudoku là một trò chơi trí tuệ với cách chơi là điền số từ 1 đến 9 vào những ô trống sao cho mỗi...

Khôi phục ảnh bị nhòe vói SmartDeblur

Bạn có một bức ảnh bị nhòe vì lý do kỹ thuật chụp hoặc do chỉnh sửa bởi các phần mềm chuyên dụng. Bạn...

Soft4Boost Toolbar Cleaner: Dọn sạch các thanh công cụ “rác” trên hệ thống

Với dân không chuyên, việc bị “dính” các thanh công cụ không cần thiết khi cài đặt phần mềm trên mạng là điều khó...

Nhiều website Bình Định bị tấn công trong 3 tháng gần đây

Mạng Bình Định đã thực hiện một cuộc điều tra nhỏ về tình hình bảo mật của các trang web Bình Định và phát...

YOLO – Ẩm thực Hàn Quốc ở Quy Nhơn

Bạn muốn tìm kiếm một địa điểm mang một phong cách ẩm thực lạ mà cụ thể là ẩm thực Hàn Quốc. Vậy thì...