Уязвимость в Инстаграм дала взломать 20 млн аккаунтов

В фотохостинге Инстаграм найдена рискованная уязвимость, потенциально предоставляющая злоумышленникам доступ к аккаунтам пользователей. По утверждению профессионала, отсутствие контроля аутентификации вместе с уязвимостью, позволяющей сослаться на прямой объект в памяти, могли позволить преступникам взломать порядка 4% существующих учетных записей (приблизительно 20 млн). Как оказалось, в «Инстаграме» отсутствует контроль при идентификации собственников аккаунтов. По информации от разработчиков, эта уязвимость касается сервиса временной блокировки аккаунтов. Проблема заключалась в системе авторизации, а именно отсутствовал контроль аутентификации.

Формы верификации учетных записей отличались. Воспользовавшись ими, злоумышленники могли прописать в настройках собственный номер телефона. Электронную почту можно было поменять у 1700 учетных записей.

Арне Свиннен оперативно поделился с фейсбук (владелец Instagram) своим открытием, за что получил премию размером в 5 тыс. долларов.

К слову, владелец соц. сети — фейсбук — уже исправил уязвимость.