"Característica" de Instagram

En 2020, incluso si un atacante ingresó a su cuenta de red social, es desagradable, pero no crítico. Después de todo, tenemos autenticación de dos factores para muchas acciones importantes, y el atacante no tiene acceso al correo / teléfono y no puede robar una cuenta. ¿Es eso así? No.



Este no es el caso de Instagram, una red social utilizada por mil millones de usuarios (⅛ de la población mundial). Y se negaron a arreglarlo. En este artículo, le contaré sobre una vulnerabilidad lógica que puede permitirle secuestrar la cuenta de una persona hasta que se contacte con ella. apoyo.



¿Interesante? ¡Bienvenido bajo el corte!

Cambiar correo electrónico y número de teléfono

Entonces, el atacante de alguna manera ingresó a su cuenta de Instagram en la aplicación o versión web. Quizás descubrió su nombre de usuario y contraseña, o tal vez olvidó cerrar sesión en una computadora pública, esto ya no es tan importante. De forma predeterminada, la autenticación de dos factores está deshabilitada para todos.

¿Puede hacer algo así para hacerse cargo de su cuenta durante mucho tiempo? Sí, tal vez ese sea el problema.

Por la noche, alrededor de las 3-4 de la mañana, cuando es más probable que esté durmiendo, borra el número de teléfono asociado. 

• ¿Necesito confirmación por teléfono? No hay necesidad. 

  
  
  
  
  

• ¿Llegará un SMS al número de teléfono? No, no vendrá.

  
  
  
  
  

• ¿Llegará una notificación automática a la aplicación? No, no llegará.

  
  
  
  
  

Un par de clics y el número de teléfono ya no está vinculado, solo se le notificará por correo electrónico, lo más probable es que lo vea solo por la mañana. Luego envíe un correo electrónico, cámbielo también.

• email? , . 

  
  
  
  
  

• Push- ? , .

  
  
  
  
  

email , — email . , .

“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .

Account Takeover

, . :

• “victim@example.com” - , .

  
  
  
  
  

• "evil1@anyserver.com” - .

  
  
  
  
  

• “evil2@anyserver.com” - .

  
  
  
  
  

:

1. victim@example.com evil1@anyserver.com.

   
   
   
   
   

2. evil1@anyserver.com.

   
   
   
   
   

3. evil1@anyserver.com evil2@anyserver.com.

   
   
   
   
   

4. evil2@anyserver.com.

   
   
   
   
   

5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .

   
   
   
   
   

?! , 1-5 , . , , !

3 , .   “secure your account here“. , . . , email , .

, :

1. email email/.

   
   
   
   
   

2. email, .

   
   
   
   
   

:

1. / .

   
   
   
   
   

Facebook/Instagram

“ - . , , , . , - .”

• , ?

  
  
  
  
  

• -, - ?

  
  
  
  
  

, , . "" , =)