Instagram: unzählige Accounts waren gefährdet

Vor kurzem wurde bei Instagram eine Sicherheitslücke gepatcht. Dies hätte für einige Unruhen sorgen können, wenn jemand Wind davon bekommen hätte.

Instagram mit schwerwiegender Sicherheitslücke

Mit der kürzlich gepatchten Schwachstelle bei Instagram hätten Hacker die Möglichkeit gehabt, Accounts zu übernehmen. Dies wäre geschehen, ohne dass diese dafür eine Interaktion des Besitzers benötigt hätten. Mit dieser Attacke war es möglich das Passwort des attackierten Accounts zurückzusetzen und sich somit Zugang zu verschaffen. Gefunden und gemeldet hat diese Schwachstelle Laxman Muthiyah, ein indischer Bug-Bounty Hunter.


Bug in der „Passwort zurücksetzen“ Funktion der App

Die Schwachstelle ging von der Passwort zurücksetzen Funktion aus. Diese macht es möglich, dass Nutzer Zugang zu ihrem Account bekommen können, selbst wenn sie ihr Passwort vergessen haben. Um ihre Identität zu bestätigen, muss ein sechsstelliger Code bestätigt werden, welchen Instagram an deren E-Mail oder Telefonnummer sendet. Dieser läuft nach 10 Minuten ab. Die Chance den richtigen Code zu erraten, liegt bei 1 zu einer Million.

Wie die Schwachstelle ausgenutzt werden konnte

Die an Mail-Adressen und Telefonnummern gesendeten Codes kann man nicht einfach mit einer Brute Force Attacke erlangen. Instagram erlaubt hierfür nur eine strikt limitierte Anzahl an Anfragen.

Laxman Muthiyah fand heraus, dass man dies jedoch umgehen kann. Dafür muss man lediglich die Anfragen von verschiedenen IP-Adressen zur selben Zeit verschicken. Er war in der Lage, 200.000 Anfragen, also 20% der möglichen Kombinationen, an den Instagram-Server zu übermitteln. Der Bug Bounty Hunter hat einen Proof of Concept zu der Schwachstelle veröffentlicht:

30.000 US-Dollar Belohnung für Laxman

Für seine gute Arbeit und Ehrlichkeit hat die Betreibergesellschaft des sozialen Netzwerks den White hat Hacker belohnt. 30.000$ erhielt er von Instagram im Zuge von deren Bug Bounty Programm. Es soll bei Instagram auch noch weitere Schwachstellen geben, die man momentan behebt.

Tarnkappe.info

 

Bild von Pete Linforth auf Pixabay

Vielleicht gefällt dir auch