Digitalmania – Seorang peneliti independen telah menemukan celah keamanan di aliran pemulihan sandi ponsel Instagram yang bisa memungkinkan peretas untuk membobol akun pengguna.
Cacat ditemukan dan dilaporkan oleh peneliti India Laxman Muthiyah, sejak itu telah diperbaiki oleh pemilik Instagram, Facebook. Peneliti, sementara itu, menerima pembayaran bug 30.000 dolar untuk temuannya.
Muthiyah, yang pernah menemukan bug di Facebook, mengatakan, upaya berburu bug terbarunya itu dipicu oleh keputusan Facebook untuk meningkatkan pembayaran pada setiap penemuan kerentanan yang dapat menyebabkan pengambilalihan akun.
Lubang keamanan berhubungan dengan bagaimana layanan berbagi foto memungkinkan pengguna untuk mendapatkan kembali akses ke akun mereka dalam kasus mereka lupa password.
Sebagai bagian dari proses pemulihan password, Anda menerima kode enam digit untuk nomor telepon pemulihan dan diminta untuk memasukkan ke dalam aplikasi sebagai cara untuk memvalidasi identitas Anda. Kode berakhir setelah 10 menit dan Instagram memiliki pengamanan tambahan untuk menggagalkan serangan brute-force pada kode. Dengan kode 6 digit dan urutan angka dari 0-9 maka dibutuhkan setidaknya satu juta kali untuk membobol.
Tapi Muthiyah berhasil menumbangkan sistem tersebut dengan memanfaatkan layanan berbagai foto. Muthiyah menunjukkan bahwa proses itu bisa ditumbangkan. Satu juta kemungkinan kombinasi angka dapat ditembus melalui proses request dimana 250 dari 1000 request yang dikirim dapat menembus sistem, sementara sisanya ditolak.
Namun, ia menyadari bahwa ia mampu mengirim permintaan terus menerus tanpa mendapatkan blokir, meskipun jumlah permintaan yang dikirim dalam rentang waktu memang dibatasi.
“Setelah beberapa hari pengujian terus menerus, saya menemukan dua hal yang memungkinkan untuk mem-bypass mekanisme rata-rata pembatasan mereka,” katanya.
Singkat cerita, Muthiyah menggunakan1.000 alamat IP dari layanan berbasis cloud untuk mencoba melakukan 200.000 kombinasi kode untuk tes akun.
Dalam skenario di lapangan, seornag peretas memerlukan 5.000 IP untuk meretas sebuah akun. Kedengarannya besar, tapi sebenarnya itu sangat mudah, jika kita menggunakan layanan penyedia cloud seperti Amazon atau Google, hanya menelan biaya 150 dolar untuk melakukan serangan dengan satu juta kode. Secara umum, teknik brute-force juga terkait dengan botnet.
Kesimpulannya, selain menggunakan kata sandi yang kuat dan unik untuk mengakses akun instagram, diperlukan juga 2FA atau Two Factor Authentication. Dan Istagram baru-baru ini memperluas pilihan otentikasi dua faktor nya. Bulan lalu, situs ini juga mengumumkan pengujian dari proses aplikasi baru bagi pengguna untuk mendapatkan kembali akses ke akun yang telah diambilalih oleh penjahat siber. Digitalmania.