Serious Instagram 2FA Loophole Patched

Facebook已經有了一個bug獎勵計劃，允許獨立研究人員報告近十年的安全漏洞。直到最近，一個關於Instagram帳戶安全性的一個非常嚴重的問題被修補了，因為研究人員設法找到一種方法來強製或多或少任何Instagram帳戶並獲得對它的控制權。

該發現獲得了Laxman Muthiyah 3萬美元的獎勵。他發現的問題的嚴重性超過了總和。 Muthiyah發現了雙因素身份驗證過程中的一個弱點，該過程依賴於發送到用戶手機的代碼。 Instagram生成一個六位數的代碼，Muthiyah決定蠻力，但計算出大約有一百萬種組合。唯一的問題是隨機生成的六位數代碼處於活動狀態的有限時間窗口 - Instagram使代碼保持有效僅十分鐘。

Instagram 2FA解決方案被利用

為了解決在這麼短的時間內暴力破解和數百萬次嘗試的問題，Instagram對時間窗口內的嘗試進行了限制，但這僅限於一個IP地址。 Muthiyah指出，對黑客攻擊帳戶感興趣的行為者如何濫用亞馬遜或谷歌等服務合法提供的大量雲帳戶，或者採用預先建立的黑客攻擊系統網絡，大多數殭屍網絡。

Muthiyah設法安裝的攻擊使用了150美元的雲帳戶設置，並錄製在Instagram / Facebook安全團隊的視頻中，後者已經解決了這個問題。

這種攻擊媒介並不是黑客發現繞過雙因素身份驗證的唯一方法。有些壞演員將受害者重定向到假的2FA代碼頁，挖出那裡輸入的代碼，然後用它來控制相關帳戶。