Instagram’ı nasıl hackleriz? Bu sorunun cevabını bulmak aslında zor ama bir güvenlik araştırmacısı bunu çok da zorlanmadan başarmış.
Arne Swinnen’in keşfettiği iki zafiyet de Instagram hesaplarının parolalarını kaba kuvvet (brute-force) saldırısı ile ele geçirmenize olanak tanıyor.
Instagram’ın çok zayıf olan parola politikaları ve kullanıcı tanımlama numaralarını (ID) ardışık olarak devam ettirmesi bu zafiyeti istismar edilebilir kılıyor.
Saldırıyı yaptığı IP ile giriş yapmayı da başaran araştırmacı bunun en kötü güvenlik tasarımlarından biri olduğunu vurguluyor. Android üzerinden girişlerde çok basit bir koruma tercih eden ve üst üste 1.000 denemeye izin verip sonrasındaki 1.000 denemeyi kullanıcı bulunamadı hatası ile dikkate almıyor. Böylece bu hata geldiğinde denemeyi bırakıp parola hatalı mesajı geldiğinde tekrar denemeye devam etmek bu basit güvenliği aşmaya yetiyor.
İkinci zafiyet de aynı şekilde ama daha vahim durumda. Kayıt ekranındaki girdileri sürekli değiştirerek tekrar gönderdiğinde “Bu bilgiler aktif bir Instagram hesabında kullanılmaktadır” hatası alınıyor. Üstelik 1.000 deneme limitine bile takılmadan.
Bu iki zafiyet bildirimi için Facebook araştırmacıyı 5.000 Dolar ile ödüllendirdi.