Instagramでのパスワード再認証の脆弱性を報告、報奨金として3万ドル

カテゴリー: サイト保守, セキュリティ, ,

マシヤーさんが発見した脆弱性とは、パスワード再設定システムに関するもの。Instagramのパスワード再設定システムとは、登録された電話番号にSMS送信された6桁の認証コードを使用するものです。この認証コードの受付にはフィルタ機能が設けられており、同じIPから複数の認証コードを入力しても一定数以上は受け付けてくれないようになっていました。

しかし、マシヤーさんは、Instagramに6桁の認証コードの入力信号を複数のIPから同時に多数送信すると、フィルタ機能が飽和して信号が素通しになってしまう脆弱性を発見。その脆弱性を活用して、「000000」から「999999」までの全ての認証コードを総当たり攻撃すればパスワード再設定システムを突破して、どんなInstagramのアカウントでも不正にアクセスできることを突き止めました。

”フィルタ機能が飽和”・・・?ギガジンの翻訳だからなのか

たいていのケースで同IPも有効時間も対処できない。10 fail で無効化とかしないのかなと素人考えする


関連記事

関連記事はまだありません

サイト保守」のBookmark
「サイト保守」記事一覧