Một chuyên gia bảo mật người Bỉ là Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram cho dò mật khẩu không giới hạn dẫn đến khả năng tài khoản bị chiếm đoạt. Cả 2 lỗi bảo mật này đều xuất phát từ chính sách mật khẩu lỏng lẻo và thiếu thực tế khi số lượng người dùng tăng lên.
Sử dụng API đăng nhập trên di động
Swinnen phát hiện ra rằng những kẻ tấn công có thể thực hiện cuộc tấn công vào bất kỳ tài khoản Instagram thông qua URL xác thực API Android của nó, do việc triển khai bảo mật không đúng. Swinnen mô tả rằng trong 1000 lần thử sai mật khẩu đầu tiên với API đăng nhập cho di động thì Instagram sẽ trả về kết quả “Password you entered is incorrect” (mật khẩu bạn nhập không đúng) nhưng với 1000 lần thử tiếp theo máy chủ sẽ trả về kết quả “Username not found” (tên người dùng không tìm thấy). Và cứ tiếp tục như vậy thì 2 giá trị máy chủ phản hồi sẽ đan xen nhau cứ mỗi 1000 lần sai.
Và như vậy tin tặc có thể vượt qua cơ chế này bằng cách kết hợp mật khẩu để bỏ qua bước phản hồi “Username not found” không có giá trị.
Lỗ hổng bảo mật này được Swinnen phát hiện và báo cáo cho Facebook vào cuối tháng 12/2015.
Sử dụng hệ thống đăng ký trên nền Web
Lỗ hổng bảo mật thứ hai cũng liên quan đến vấn đề thử mật khẩu ảnh hưởng đến trang web đăng ký Instagram được phát hiện và báo cáo cho Facebook vào tháng 5/2016 các chuyên gia bảo mật cùng nhóm.
Lỗ hổng này cho phép kẻ tấn công để thực hiện một cuộc tấn công dò mã ở mức đơn giản trên các thiết bị đầu cuối dùng để đăng ký tài khoản Instagram trên nền web và nó thậm chí không cần kích hoạt tài khoản với khóa xác nhận hoặc một phương pháp bảo mật khác.
Swinnen đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại các yêu cầu HTTP gửi trong đăng ký. Tuy nhiên, sau khi thử gửi lại một yêu cầu khác nhưng loại bỏ các thông số username và password, ông đã nhận được một phản hồi báo lỗi là “Those credentials belong to an active Instagram account.” – Những thông tin thuộc về một tài khoản Instagram hoạt động. Vì Instagram không có giới hạn số lượt đăng ký nên hacker có thể gửi 10.000 yêu cầu với tên người dùng và mật khẩu để tìm mật khẩu chính xác.
Facebook đã trao thưởng $5000 cho người tìm ra lỗi và đã thực hiện vá các lỗi bảo mật đã công bố ở trên. Hiện tại Instagram không còn cho phép người dùng lựa chọn mật khẩu đơn giản mà đòi hỏi mật khẩu là một sự kết hợp của các con số, chữ cái, và chấm câu. Công ty cũng khuyến cáo mật khẩu Instagram không được sử dụng ở những nơi khác trên mạng.
Huỳnh Mai Anh Kiệt (THN)
