"Fonctionnalité" Instagram

En 2020, même si un attaquant est entré dans votre compte de réseau social, c'est frustrant, mais pas critique. Après tout, nous avons une authentification à deux facteurs pour de nombreuses actions importantes, et l'attaquant n'a pas accès au courrier / téléphone et il ne peut pas voler un compte. Est-ce vrai? Non.



Ce n'est pas le cas d' Instagram, un réseau social utilisé par 1 milliard d'utilisateurs (⅛ de la population mondiale). Et ils ont refusé de le réparer. Dans cet article, je vais vous parler d'une vulnérabilité logique qui peut vous permettre de détourner le compte d'une personne jusqu'à ce qu'elle les contacte. soutien.



Intéressant? Bienvenue au chat!

Modifier l'adresse e-mail et le numéro de téléphone

Ainsi, l'attaquant a en quelque sorte entré votre compte Instagram dans l'application ou la version Web. Peut-être qu'il vient de découvrir votre nom d'utilisateur et votre mot de passe, ou peut-être que vous avez oublié de vous déconnecter sur un ordinateur public, ce n'est plus si important. Par défaut, l'authentification à deux facteurs est désactivée pour tout le monde.

Peut-il organiser quelque chose comme ça pour prendre le contrôle de votre compte pendant longtemps? Oui, c'est peut-être juste le problème.

La nuit, vers 3-4 heures du matin, lorsque vous dormez probablement, il supprime le numéro de téléphone associé. 

• Ai-je besoin d'une confirmation téléphonique? Il n'y a pas besoin. 

  
  
  
  
  

• Un SMS arrivera-t-il au numéro de téléphone? Non, cela ne viendra pas.

  
  
  
  
  

• Une notification push arrivera-t-elle dans l'application? Non, ça n'arrivera pas.

  
  
  
  
  

Quelques clics et le numéro de téléphone n'est plus lié, vous ne serez averti que par email, vous ne le verrez probablement que le matin. Puis e-mail, changez-le aussi.

• email? , . 

  
  
  
  
  

• Push- ? , .

  
  
  
  
  

email , — email . , .

“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .

Account Takeover

, . :

• “victim@example.com” - , .

  
  
  
  
  

• "evil1@anyserver.com” - .

  
  
  
  
  

• “evil2@anyserver.com” - .

  
  
  
  
  

:

1. victim@example.com evil1@anyserver.com.

   
   
   
   
   

2. evil1@anyserver.com.

   
   
   
   
   

3. evil1@anyserver.com evil2@anyserver.com.

   
   
   
   
   

4. evil2@anyserver.com.

   
   
   
   
   

5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .

   
   
   
   
   

?! , 1-5 , . , , !

3 , .   “secure your account here“. , . . , email , .

, :

1. email email/.

   
   
   
   
   

2. email, .

   
   
   
   
   

:

1. / .

   
   
   
   
   

Facebook/Instagram

“ - . , , , . , - .”

• , ?

  
  
  
  
  

• -, - ?

  
  
  
  
  

, , . "" , =)