Gelişmiş güvenlik mekanizmalarına sahip olsalar da Facebook, Google ve LinkedIn gibi teknoloji ve sosyal medya devleri hâlâ belirli güvenlik açıklarına sahip. Bunun içerisinde hızla büyüyen Instagram da bulunuyor.
Milyonlarca kullanıcıya sahip olan Instagram, çok yakın bir süre önce çok ciddi bir hatayı giderdi. Hata sonucunda hackerlar, herhangi bir Instagram hesabını, hesap sahibinin herhangi bir etkileşimi olmadan ele geçirebiliyordu.
Instagram'da bulunan bazı güvenlik açıkları yamalanmış olsa da bazıları hâlâ düzeltme aşamasında. Bunun yanı sıra sistemde bulunan ancak ortaya çıkmamış açıkların da bulunduğu söyleniyor.
Laxman Muthiyah'ın bulduğu ve sorumlu bir şekilde yetkililere bildirdiği güvenlik açığı, Instagram'ın mobil sürümünde şifre yenilerken ortaya çıktı.
Instagram'da 'parolamı sıfırla' özelliği sayesinde şifresini unutan kullanıcılar, şifrelerini geri alma imkanına sahip olabiliyordu. 6 haneli gizli bir parolanın kayıtlı telefon numarasına ya da e-posta adresine gönderilmesi sonucunda kullanıcılar hesaplarına olan erişimlerini tekrardan kazanabiliyordu.
Bu işlem, bir milyon kombinasyondan rastgele seçilmiş bir şifreyi bilmeniz sonucunda size, istediğiniz hesaba erişme imkanını sağlıyordu. Tabii ki Instagram, bu ihtimali düşündüğü için şifreyi deneme sayısını kısıtlamıştı ancak Laxman, bu işlemi gerçekleştirebildiği bir yöntemi keşfetti.
Farklı IP adreslerinden muazzam sayıda istek göndererek bu sistemi aşabildiğini fark eden Laxman, 200.000 kodu (yani tüm ihtimallerin %20'si) saniyeler içerisinde engellenmeden denedi.
The Hacker News'a röportaj veren Laxman, "Gerçek bir saldırı senaryosunda hackerın bir hesabı hacklemesi için 5.000 tane IP adresine ihtiyacı var. Başta kulağa büyük bir sayı gibi gelse de Amazon ya da Google gibi bir bulut hizmet sağlayıcısı kullanıyorsanız yalnızca 150 dolara bir milyon kodu deneyebilirsiniz" açıklamalarında bulundu.
Bunu kanıtlamak üzere bir video çeken Laxman, hatayı Instagram'a bildirdi ve 30.000 dolar değerinde bir para ödülünün de sahibi oldu.
Laxman'ın kanıt videosuna aşağıdan ulaşabilirsiniz:
