WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
“Thợ săn lỗ hổng” tìm ra cách hack mọi tài khoản Instagram
Làm thế nào để hack một tài khoản Instagram?
Câu trả lời cho câu hỏi này thật khó tìm; tuy nhiên, một “thợ săn lỗ hổng” đã làm được một cách không mấy khó khăn.
Thợ săn lỗ hổng người Bỉ Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram, cho phép brute-force (dò) mật khẩu Instagram và chiếm tài khoản người dùng mà không gặp khó khăn gì.
Cả hai lỗi cho phép tấn công brute-force đều khai thác được do các chính sách mật khẩu yếu và quy định sử dụng ID người dùng của Instagram.
Tấn công brute-force sử dụng API đăng nhập điện thoại
Swinnen phát hiện một hacker nào đó có thể đã thực hiện tấn công brute-force nhắm vào tài khoản Instagram thông qua URL API xác thực Android, do việc triển khai biện pháp an ninh không hợp lý.
Theo bài viết trên blog của nhà nghiên cứu này, trong 1000 lần thử dò mật khẩu không chính xác đầu tiên trên API đăng nhập di động, Instagram phản hồi "mật khẩu bạn nhập không đúng". Tuy nhiên, trong 1000 lần thử tiếp theo máy chủ lại hiển thị "không tìm thấy tên người dùng".
Swinnen vẫn kiên nhẫn thực hiện tấn công brute-force và thấy rằng máy chủ hiển thị phản hồi khả quan sau lần thử thứ 2000, nhưng ngay sau đó là một phản hồi không khả quan (ví dụ: không tìm thấy tên người dùng).
Vì vậy, tin tặc có thể tạo ra một script cho một cuộc tấn công brute-force và lặp lại các phản hồi không chính xác cho đến khi nhận được một phản hồi khả quan. Swinnen đã thiết lập một kịch bản thử nghiệm 10.001 mật khẩu nhắm vào một tài khoản Instagram.
Phần tồi tệ nhất
Nhà nghiên cứu có thể đăng nhập vào tài khoản bị tấn công từ chính địa chỉ IP được sử dụng để tiến hành tấn công brute-force, đây là cách thức bảo đảm an ninh tồi tệ nhất trong việc bảo vệ tài khoản khỏi bị đăng nhập trái phép.
Lỗ hổng đầu tiên được Swinnen phát hiện và báo cho Facebook vào cuối tháng 12/2015.
Tấn công brute-force sử dụng hệ thống đăng ký trên nền tảng web
Lỗ hổng cho phép tấn công brute-force thứ hai, ảnh hưởng đến trang đăng ký web của Instagram, được Swinnen phát hiện và báo Facebook vào tháng 5/2016.
Lỗ hổng này có thể cho phép hacker tiến hành một cuộc tấn công brute-force nhắm mục tiêu đến trang đăng ký của Instagram trong khi Instagram không khởi động chế độ chặn tài khoản hoặc các biện pháp an ninh khác.
Nhà nghiên cứu đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại truy vấn HTTP được gửi trong quá trình đăng ký.
Tuy nhiên, sau khi lặp lại cùng một truy vấn nhưng loại bỏ các thông số tên tài khoản và mật khẩu, ông nhận được một phản hồi lỗi: "Những thông tin này thuộc về một tài khoản Instagram đang hoạt động".
Vì không có giới hạn mức độ được kích hoạt trên trang đăng ký, Swinnen có thể tấn công brute-force hơn 10.000 lần trước khi gửi đi tên người dùng và mật khẩu chính xác và nhận được một phản hồi khẳng định từ trang đăng ký.
Facebook đã trao cho Swinnen một khoản tiền thưởng 5.000 USD và vá các lỗ hổng trên Instagram bằng cách giới hạn số lần đăng nhập cũng như thiết chặt chính sách mật khẩu của hãng.
Hiện tại, Instagram không cho phép người dùng đặt mật khẩu đơn giản mà yêu cầu mật khẩu phải có sự kết hợp của các con số, chữ cái và dấu chấm câu. Hãng cũng khuyến cáo mật khẩu Instagram không được sử dụng cho những tài khoản mạng khác.
Thay vì hy vọng người dùng đặt mật khẩu trực tuyến có mức độ an toàn mạnh và phức tạp, các nhà phát triển và các website cần đưa ra một chính sách mật khẩu mạnh, không cho phép người dùng đăng ký với các mật khẩu yếu, cũng như khuyến cáo người dùng chấp nhận quy trình quản lý mật khẩu.
Nguồn: The Hacker News
Câu trả lời cho câu hỏi này thật khó tìm; tuy nhiên, một “thợ săn lỗ hổng” đã làm được một cách không mấy khó khăn.
Thợ săn lỗ hổng người Bỉ Arne Swinnen phát hiện hai lỗ hổng trong mạng xã hội chia sẻ hình ảnh Instagram, cho phép brute-force (dò) mật khẩu Instagram và chiếm tài khoản người dùng mà không gặp khó khăn gì.
Cả hai lỗi cho phép tấn công brute-force đều khai thác được do các chính sách mật khẩu yếu và quy định sử dụng ID người dùng của Instagram.
Tấn công brute-force sử dụng API đăng nhập điện thoại
Swinnen phát hiện một hacker nào đó có thể đã thực hiện tấn công brute-force nhắm vào tài khoản Instagram thông qua URL API xác thực Android, do việc triển khai biện pháp an ninh không hợp lý.
Theo bài viết trên blog của nhà nghiên cứu này, trong 1000 lần thử dò mật khẩu không chính xác đầu tiên trên API đăng nhập di động, Instagram phản hồi "mật khẩu bạn nhập không đúng". Tuy nhiên, trong 1000 lần thử tiếp theo máy chủ lại hiển thị "không tìm thấy tên người dùng".
Swinnen vẫn kiên nhẫn thực hiện tấn công brute-force và thấy rằng máy chủ hiển thị phản hồi khả quan sau lần thử thứ 2000, nhưng ngay sau đó là một phản hồi không khả quan (ví dụ: không tìm thấy tên người dùng).
Vì vậy, tin tặc có thể tạo ra một script cho một cuộc tấn công brute-force và lặp lại các phản hồi không chính xác cho đến khi nhận được một phản hồi khả quan. Swinnen đã thiết lập một kịch bản thử nghiệm 10.001 mật khẩu nhắm vào một tài khoản Instagram.
Phần tồi tệ nhất
Nhà nghiên cứu có thể đăng nhập vào tài khoản bị tấn công từ chính địa chỉ IP được sử dụng để tiến hành tấn công brute-force, đây là cách thức bảo đảm an ninh tồi tệ nhất trong việc bảo vệ tài khoản khỏi bị đăng nhập trái phép.
Lỗ hổng đầu tiên được Swinnen phát hiện và báo cho Facebook vào cuối tháng 12/2015.
Tấn công brute-force sử dụng hệ thống đăng ký trên nền tảng web
Lỗ hổng cho phép tấn công brute-force thứ hai, ảnh hưởng đến trang đăng ký web của Instagram, được Swinnen phát hiện và báo Facebook vào tháng 5/2016.
Lỗ hổng này có thể cho phép hacker tiến hành một cuộc tấn công brute-force nhắm mục tiêu đến trang đăng ký của Instagram trong khi Instagram không khởi động chế độ chặn tài khoản hoặc các biện pháp an ninh khác.
Nhà nghiên cứu đăng ký một tài khoản thử nghiệm trên Instagram và ghi lại truy vấn HTTP được gửi trong quá trình đăng ký.
Tuy nhiên, sau khi lặp lại cùng một truy vấn nhưng loại bỏ các thông số tên tài khoản và mật khẩu, ông nhận được một phản hồi lỗi: "Những thông tin này thuộc về một tài khoản Instagram đang hoạt động".
Vì không có giới hạn mức độ được kích hoạt trên trang đăng ký, Swinnen có thể tấn công brute-force hơn 10.000 lần trước khi gửi đi tên người dùng và mật khẩu chính xác và nhận được một phản hồi khẳng định từ trang đăng ký.
Facebook đã trao cho Swinnen một khoản tiền thưởng 5.000 USD và vá các lỗ hổng trên Instagram bằng cách giới hạn số lần đăng nhập cũng như thiết chặt chính sách mật khẩu của hãng.
Hiện tại, Instagram không cho phép người dùng đặt mật khẩu đơn giản mà yêu cầu mật khẩu phải có sự kết hợp của các con số, chữ cái và dấu chấm câu. Hãng cũng khuyến cáo mật khẩu Instagram không được sử dụng cho những tài khoản mạng khác.
Thay vì hy vọng người dùng đặt mật khẩu trực tuyến có mức độ an toàn mạnh và phức tạp, các nhà phát triển và các website cần đưa ra một chính sách mật khẩu mạnh, không cho phép người dùng đăng ký với các mật khẩu yếu, cũng như khuyến cáo người dùng chấp nhận quy trình quản lý mật khẩu.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: