Cara hack akun Instagram?
Jawaban atas pertanyaan ini sulit untuk ditemukan, tetapi
pemburu bug bounty hanya melakukannya tanpa terlalu banyak kesulitan. Belgia bug bounty hunter Arne Swinnen menemukan dua
kerentanan dalam berbagi gambar/foto Instagram jaringan sosial yang
memungkinkan dia untuk brute-force password akun Instagram dan mengambil alih
akun pengguna dengan upaya minimal.
Kedua
isu serangan brute-force yang dieksploitasi karena Instagram ini kebijakan password yang lemah dan praktek menggunakan ID pengguna tambahan.
"Ini bisa memungkinkan seorang penyerang untuk kompromi banyak akun tanpa interaksi pengguna, termasuk yang high-profile," tulis Swinnen dalam posting blog yang menjelaskan rincian dari kedua kerentanan.
"Ini bisa memungkinkan seorang penyerang untuk kompromi banyak akun tanpa interaksi pengguna, termasuk yang high-profile," tulis Swinnen dalam posting blog yang menjelaskan rincian dari kedua kerentanan.
Brute-Force Attack Menggunakan Ponsel Login
API
Swinnen menemukan bahwa penyerang bisa
dilakukan serangan brute force terhadap setiap akun Instagram melalui URL
otentikasi API Android, karena implementasi keamanan yang tidak benar.Menurut
nya posting
blog , untuk pertama 1000 upaya yang salah brute-force pada Ponsel masuk API,
Instagram merespon " sandi yang Anda masukkan salah, "tapi ia juga
menyadari bahwa untuk 1000 upaya berikutnya menampilkan Server," nama pengguna tidak ditemukan "-. semacam rate limiting
tanggapan kesalahan namun,
Swinnen melanjutkan serangan brute force dengan kesabaran dan menemukan server
yang lagi mulai menampilkan tanggapan diandalkan setelah usaha 2000, diikuti
oleh respon yang tidak dapat diandalkan (yaitu username tidak ditemukan). Jadi, penyerang bisa membuat script
yang hanya mount serangan brute-force handal dan memutar tanggapan akurat
sampai satu diandalkan diperoleh. Ia
mengembangkan sebuah script yang diuji 10.001 password terhadap akun Instagram
ditargetkan.
"Satu-satunya
batasan dari serangan ini adalah bahwa rata-rata, 2 permintaan otentikasi harus
dibuat untuk satu upaya sandi menebak terpercaya," kata Swinnen.
Bagian
terburuk datang dalam:
Peneliti mampu login ke akun dikompromikan dari
alamat IP yang sama bahwa ia digunakan untuk melakukan serangan brute-force
terhadap password, yang merupakan praktek keamanan terburuk untuk melindungi
akun terhadap login yang tidak sah. Yang
pertama kerentanan ditemukan dan dilaporkan ke Facebook oleh Swinnen pada akhir
Desember.
Brute-Force Attack menggunakan sistem registrasi berbasis web
Kedua
kerentanan serangan brute-force yang mempengaruhi halaman pendaftaran Web
Instagram itu ditemukan dan dilaporkan ke Facebook Mei oleh peneliti yang sama. Kerentanan bisa memungkinkan penyerang untuk
melaksanakan lain serangan brute-force sepele terhadap endpoint pendaftaran
Instagram Web yang melakukan bahkan tidak memicu lockout akun atau
langkah-langkah keamanan lainnya.
Kedua kerentanan serangan brute-force yang mempengaruhi halaman pendaftaran Web Instagram itu ditemukan dan dilaporkan ke Facebook Mei oleh peneliti yang sama. Kerentanan bisa memungkinkan penyerang untuk melaksanakan lain serangan brute-force sepele terhadap endpoint pendaftaran Instagram Web yang melakukan bahkan tidak memicu lockout akun atau langkah-langkah keamanan lainnya.
Swinnen
terdaftar account tes pada Instagram dan mencatat permintaan HTTP dikirim saat
pendaftaran. Namun, setelah
mengulang permintaan yang sama menghilangkan username dan password parameter,
ia menerima respon error yang mengatakan " Mereka kredensial milik akun Instagram aktif. " Karena ada tidak ada pembatasan
tingkat diaktifkan pada halaman pendaftaran, Swinnen mampu brute force lebih
dari 10.000 kali sebelum mengirim lebih username dan password yang benar dan
menerima respon afirmatif dari halaman. Facebook
diberikan peneliti karunia gabungan sebesar $ 5.000 dan ditambal baik
kerentanan di Instagram dengan membatasi jumlah usaha login serta pengerasan
nya kebijakan password .
Sekarang, Instagram tidak lagi memungkinkan pengguna untuk memilih password yang sederhana. Sekarang membutuhkan password untuk menjadi kombinasi angka, huruf, dan tanda baca. Perusahaan ini juga merekomendasikan Instagram password tidak digunakan di tempat lain secara online. Langkah-langkah serupa harus diadopsi oleh setiap website dan layanan yang bertanggung jawab untuk keamanan online mereka pengguna. Alih-alih mengharapkan dari pengguna untuk menyimpan password online setiap mereka yang kuat dan kompleks, itu adalah situs web dan tugas pengembang untuk menegakkan kebijakan password yang kuat dengan tidak memungkinkan pengguna untuk mendaftar dengan password yang lemah, serta merekomendasikan pengguna untuk mengadopsi password manager.
Sekarang, Instagram tidak lagi memungkinkan pengguna untuk memilih password yang sederhana. Sekarang membutuhkan password untuk menjadi kombinasi angka, huruf, dan tanda baca. Perusahaan ini juga merekomendasikan Instagram password tidak digunakan di tempat lain secara online. Langkah-langkah serupa harus diadopsi oleh setiap website dan layanan yang bertanggung jawab untuk keamanan online mereka pengguna. Alih-alih mengharapkan dari pengguna untuk menyimpan password online setiap mereka yang kuat dan kompleks, itu adalah situs web dan tugas pengembang untuk menegakkan kebijakan password yang kuat dengan tidak memungkinkan pengguna untuk mendaftar dengan password yang lemah, serta merekomendasikan pengguna untuk mengadopsi password manager.
Sekian Dari Saya dan Terima Kasih.
EmoticonEmoticon