Connect with us

Hirdetés

technokrata

Ilyen egy 27 ezer dolláros Instagram hiba

instagram

App

Ilyen egy 27 ezer dolláros Instagram hiba

Ilyen egy 27 ezer dolláros Instagram hiba

​A Meta 27 ezer dollárt fizetett egy etikus hackernek, amiért az egy igen súlyos sérülékenységre világított rá az Instagram kapcsán.

A Facebook már évek óta sikeresen működteti a hibavadász programját, amelynek keretében a biztonsági kutatók különféle sérülékenységeket jelezhetnek a cég egyes szolgáltatásaival kapcsolatban. A szabályoknak megfelelő hibabejelentésekért pedig jutalom jár, olykor nem is kevés. A program indulása óta az etikus hackerek összesen több mint 16 millió dollárt kerestek a program keretein belül. Csak 2022-ben kétmillió dollárt fizetett a Meta a biztonsági kutatóknak a különféle biztonsági rések feltárásáért.

A napokban egy olyan sebezhetőségről hullt le a lepel, amelynek felfedezője 27 ezer dollár jutalomban részesült. Gtm Manoz biztonsági kutató még 2022 szeptemberében kezdte vizsgálni az Instagramot, illetve annak azon oldalát (Meta Accounts Center), amelyen a felhasználók a fiókjaikat kezelheti. Ott adhatják meg az e-mail címüket, telefonszámukat, valamint lehetőségük van az Instagram és a Facebook fiókjaik összekapcsolására. Biztonsági szempontból tehát egy meglehetősen érzékeny oldalról van szó.

Manoz a vizsgálódása során arra lett figyelmes, hogy amikor a Meta oldalán módosítja az e-mail címét, illetve a telefonszámát, akkor az e-mailben vagy SMS-ben megérkező megerősítő kód megadására szolgáló felület egy súlyos hiányossággal rendelkezik. Az derült ki ugyanis, hogy a megerősítő kód ellenőrzésére szolgáló oldal semmiféle határt nem szab az érvénytelen próbálkozások számának, így adott esetben a hatjegyű kódot bárki végig próbálgathatja. Mindez azt jelenti, hogy a fejlesztők nem foglalkoztak a brute force támadások elleni védelem kialakításával.

A sebezhetőségnek leginkább az volt a kockázata, hogy ha egy feketekalapos hacker azt nekilátott kihasználni, akkor az áldozata telefonszámát több kevesebb próbálgatás után hozzá tudta kapcsolni a saját fiókjához, miközben a Meta rendszere – biztonsági okok miatt – a telefonszám jogos tulajdonosának fiókjából eltávolította a számot, illetve ezzel együtt az SMS-es kétfaktoros azonosítást is kikapcsolta. Igaz ugyan, hogy erről a felhasználó e-mailes értesítést kapott, de akkor már a telefonszámával történő visszaélések kezdetüket vehették volna.

A Facebook októberben megszüntette a biztonsági rést, és az említett felületet ellátta a megfelelő védelemmel. Egyúttal pedig nagyra értékelte a kutató munkáját, hiszen az odaítélhető legnagyobb összegű jutalmat nyújtotta át Manoz számára.

Forrás: Biztonságportál


További friss híreket talál a Technokrata főoldalán! Csatlakozzon hozzánk a Facebookon is!

További App

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

LG

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés