Serious Instagram 2FA Loophole Patched

Facebookには、独立した研究者がほぼ10年間セキュリティの欠陥を報告することを可能にするバグ報奨金プログラムがありました。つい最近になって、Instagramアカウントのセキュリティに関する非常に深刻な問題が、Instagramアカウントを多少なりとも強引にしてそれを制御する方法を見つけることに成功した後にパッチが当てられました。

その発見はLaxman Muthiyahに3万ドルの賞を与えた。彼が発見した問題の重大さは、その合計を正当化する以上のものです。 Muthiyahは、ユーザーの携帯電話に送信されたコードに依存する2要素認証手順の弱点を発見しました。 InstagramはMuthiyahがブルートフォースすることを決めた6桁のコードを生成しますが、約百万の組み合わせがあるだろうということを考え出しました。唯一の問題は、ランダムに生成された6桁のコードがアクティブになっていた限られた時間枠でした - Instagramはわずか10分の間コードを有効に保ちます。

Instagram 2FAの回避策が悪用された

短期間で何百万もの試行をブルートフォースで実行してフィードするという問題を回避するために、Instagramは時間枠内での試行に制限を設けましたが、それは単一のIPアドレスしかカバーしませんでした。 Muthiyah氏は、アカウントのハッキングに関心を持つ悪意のある行為者が、AmazonやGoogleなどのサービスによって合法的に提供されている多数のクラウドアカウントを悪用しているか、ハッキングされたシステムのネットワークを確立することに頼るのかを指摘しました。ほとんどのボットネット

Muthiyahが攻撃を仕掛けたことで、150ドルのクラウドアカウントが使用され、Instagram / Facebookセキュリティチームのビデオに録画されました。

この種の攻撃方法は、ハッカーが2要素認証を回避することを発見した唯一の方法ではありません。悪意のある行為者が被害者を偽の2FAコードページにリダイレクトさせ、そこに入力されたコードを捜し出し、それを使用して問題のアカウントを制御することがありました。