להשתלט על חשבון האינסטגרם בתוך 10 דקות
חוקר אבטחת מידע חשף באג ברשת החברתית הפופולרית, שאיפשר להאקרים להשתלט על כל חשבון אינסטגרם בתוך דקות. בפייסבוק טיפלו בנושא, ואף פיצו את החוקר ב-30 אלף דולר
השתלטות על חשבונות משתמש ברשתות החברתיות היא תמיד עניין רציני, אבל כשמדובר באינסטגרם - הרגישות גוברת: הרשת החברתית הפופולרית, הנמצאת בבעלות פייסבוק, מאופיינת במשתמשים צעירים במיוחד, משפיענים, סלבריטאים ועמודי מותג. השתלטות על חשבונות מהסוג הזה עשויה להיות הרסנית, ולהוביל גם להפסדים כלכליים גדולים.
חוקר אבטחת מידע בשם לקסמן מות'יאה חשף באג מהותי באינסטגרם, המאפשר להשתלט - לעיתים בתוך 10 דקות בלבד, על כל חשבון משתמש באינסטגרם. הוא עשה זאת באמצעות בחינת מערכת שחזור הסיסמה ברשת החברתית: המערכת מבקשת קוד אימות בעל שש ספרות בעת בקשת השחזור, והיא מאפשרת להזין קוד כזה כ-200 פעמים לפני חסימה. אלא שמות'יאה גילה כי החסימה רלוונטית רק עבור אותה כתובת IP - מה שאומר שאם משתמשים בכתובות שונות, אפשר להמשיך ולהזין עוד ועוד צירופים עד לפיצוח הקוד.
החוקר פנה אל פייסבוק, והראה כיצד הצליח להזין 200 אלף צירופים באמצעות שימוש באלף כתובות IP. הוא טען כי במחיר של כ-150 דולר, ובאמצעות שימוש בשירותי ענן פופולריים, מדובר במתקפה סטנדרטית למדי. האקרים שירצו בכך, יוכלו באמצעות 5,000 כתובות IP להגיע לצירוף הנכון בתוך 10 דקות או פחות, וכאמור - יש הרבה מאוד חשבונות אינסטגרם ששווים את המאמץ. ברשת החברתית טיפלו בנושא, ואף פיצו את מות'יאה בסכום של 30 אלף דולר, לאחר שהסכימו איתו כי לא מדובר בבאג תיאורטי - אלא כזה שיכול היה לגרום נזק ממשי.
אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל, הסביר: "חשוב שכל מה שקשור לשחזור סיסמה, יוגדר דרך אימות דו שלבי בטלפון ודרך כתובת מייל חלופית. במידה שהחשבון שלנו ייפרץ באמצעות באגים שעדיין אינם מוכרים ומנוצלים על-ידי עבריינים, זה יוכל לעזור לביטחון החשבון. כמובן שבמקרה שבו אנו מקבלים התראות במייל או בטלפון על נסיונות התחברות לחשבון שלנו שלא ביצענו, או קוד שחזור שלא ביקשנו, חשוב לדווח על כך לחברה המפעילה את השירות".