1 milyarın üzerinde kullanıcısı bulunan Instagram en popüler sosyal ağların başında geliyor. Ancak platform sandığınız kadar güvenli değil. Her hesabı hackleyebilecek bir açık bulundu.
1 milyarın üzerinde toplam kullanıcı ve günlük 500 milyonun üzerinde aktif kullanıcı gibi inanılmaz bir kitleye ulaşan Instagram, özellikle Facebook skandalından sonra 7’den 70’e pek çok kişinin favori sosyal ağı olarak öne çıkıyor. Hal böyle olunca kullanıcılar için de bu ağdaki profillerinin “değeri” artıyor. Pek çok kullanıcı platformu “kendini markalaştırmak” için kullanırken, reklam verenler ve firmalar da aktif olarak platformda yer alıyor. Ancak yakın zamanda platformdaki tüm hesapları hackleyebilmeyi mümkün kılan bir açık keşfedildi. Laxman Muthiyah isimli profesyonel “ödül avcısı” araştırmacı, bu tarz platformlardaki açıkları bularak “ödül” topluyor. Muthiyah’ın yeni avı ise Instagram’dan başkası değil.
İLGİNİZİ ÇEKEBİLİR
Instagram açığını bulan hacker’a 30 bin dolar
Muthiyah, Instagram’ım mobil versiyonunda parola resetlemek istediğinizde ortaya çıkan ilginç bir açık keşfetmiş. Önce platformda parola resetlemenin nasıl çalıştığından bahsedelim. Şifrenizi unuttuğunuzda platformun ana sayfasında “Şifremi unuttum” seçeneğine tıklayarak adımları takip ederseniz, Instagram telefonunuza 6 haneli bir şifre kurtarma kodu gönderiyor. Bu kurtarma kodunu aşmak ne yaptığını bilen bir hacker için çok zor değil. Tam da bu sebeple Instagram’ın tekrar tekrar kodları denemeye karşı bir sistemi bulunuyor. Bu kod deneme saldırısını algılayan sistem aynı IP üzerinden 1000 istek göndermede sadece 250’sini onaylıyor ve kalanını engelliyor. Ayrıca bu denemelerin 10 dakika içinde gerçekleştirilmesi gerekiyor.
Muthiyah da farklı IP adresleriyle 250 farklı deneme gönderecek şekilde 10 dakika boyunca sistemi zorlayan bir program yazıyor. Söz konusu programla beraber 200 bin kod tahmin denemesi gönderilebiliyor. Bunu bir test hesabı üzerinde gerçekleştiren Muthiyah, “Gerçek bir saldırıda hacker’ın bir hesabı hackleyebilmesi için 5000 IP’ye ihtiyacı var. Kulağa çok fazla gibi gelse de eğer Amazon ya da Google gibi bir bulut servisi sağlayıcı kullanıyorsanız oldukça kolay. 1 milyon kodla saldırının bedeli yaklaşık 150 dolar ediyor.” diyerek durumu açıklıyor.
Muthiyah, Instagram’a bu açığı bildirerek platformun açığı kapatmasını sağlamış. Facebook’un sahip olduğu “ödüllendirme programı” Bugcrowd sayesinde, Muthiyah bulduğu hata için 30 bin dolar kazandı. Muthiyah’ın Instagram açığı için hazırladığı videoyu haberin üzerinden izleyebilirsiniz.
