Serious Instagram 2FA Loophole Patched

Facebook已经有了一个bug奖励计划，允许独立研究人员报告近十年的安全漏洞。直到最近，一个关于Instagram帐户安全性的一个非常严重的问题被修补了，因为研究人员设法找到一种方法来强制或多或少任何Instagram帐户并获得对它的控制权。

该发现获得了Laxman Muthiyah 3万美元的奖励。他发现的问题的严重性超过了总和。 Muthiyah发现了双因素身份验证过程中的一个弱点，该过程依赖于发送到用户手机的代码。 Instagram生成一个六位数的代码，Muthiyah决定蛮力，但计算出大约有一百万种组合。唯一的问题是随机生成的六位数代码处于活动状态的有限时间窗口 - Instagram使代码保持有效仅十分钟。

Instagram 2FA解决方案被利用

为了解决在这么短的时间内暴力破解和数百万次尝试的问题，Instagram对时间窗口内的尝试进行了限制，但这仅限于一个IP地址。 Muthiyah指出，对黑客攻击帐户感兴趣的行为者如何滥用亚马逊或谷歌等服务合法提供的大量云帐户，或者采用预先建立的黑客攻击系统网络，大多数僵尸网络。

Muthiyah设法安装的攻击使用了150美元的云帐户设置，并录制在Instagram / Facebook安全团队的视频中，后者已经解决了这个问题。

这种攻击媒介并不是黑客发现绕过双因素身份验证的唯一方法。有些坏演员将受害者重定向到假的2FA代码页，挖出那里输入的代码，然后用它来控制相关帐户。