"Fonctionnalité" Instagram

En 2020, mĂȘme si un attaquant est entrĂ© dans votre compte de rĂ©seau social, c'est frustrant, mais pas critique. AprĂšs tout, nous avons une authentification Ă  deux facteurs pour de nombreuses actions importantes, et l'attaquant n'a pas accĂšs au courrier / tĂ©lĂ©phone et il ne peut pas voler un compte. Est-ce vrai? Non.



Ce n'est pas le cas d' Instagram, un rĂ©seau social utilisĂ© par 1 milliard d'utilisateurs (⅛ de la population mondiale). Et ils ont refusĂ© de le rĂ©parer. Dans cet article, je vais vous parler d'une vulnĂ©rabilitĂ© logique qui peut vous permettre de dĂ©tourner le compte d'une personne jusqu'Ă  ce qu'elle les contacte. soutien.



Intéressant? Bienvenue au chat!





Modifier l'adresse e-mail et le numéro de téléphone

Ainsi, l'attaquant a en quelque sorte entrĂ© votre compte Instagram dans l'application ou la version Web. Peut-ĂȘtre qu'il vient de dĂ©couvrir votre nom d'utilisateur et votre mot de passe, ou peut-ĂȘtre que vous avez oubliĂ© de vous dĂ©connecter sur un ordinateur public, ce n'est plus si important. Par dĂ©faut, l'authentification Ă  deux facteurs est dĂ©sactivĂ©e pour tout le monde.





Peut-il organiser quelque chose comme ça pour prendre le contrĂŽle de votre compte pendant longtemps? Oui, c'est peut-ĂȘtre juste le problĂšme.





La nuit, vers 3-4 heures du matin, lorsque vous dormez probablement, il supprime le numĂ©ro de tĂ©lĂ©phone associĂ©. 





  • Ai-je besoin d'une confirmation tĂ©lĂ©phonique? Il n'y a pas besoin. 





  • Un SMS arrivera-t-il au numĂ©ro de tĂ©lĂ©phone? Non, cela ne viendra pas.





  • Une notification push arrivera-t-elle dans l'application? Non, ça n'arrivera pas.





Quelques clics et le numéro de téléphone n'est plus lié, vous ne serez averti que par email, vous ne le verrez probablement que le matin. Puis e-mail, changez-le aussi.





  • email? , . 





  • Push- ? , .





email , — email . , .





“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .





Account Takeover

, . :





  • “victim@example.com” - , .





  • "evil1@anyserver.com” - .





  • “evil2@anyserver.com” - .





:





  1. victim@example.com evil1@anyserver.com.





  2. evil1@anyserver.com.





  3. evil1@anyserver.com evil2@anyserver.com.





  4. evil2@anyserver.com.





  5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .





?! , 1-5 , . , , !





3 , .   “secure your account here“. , . . , email , .





, :





  1. email email/.





  2. email, .





:





  1. / .





Facebook/Instagram

“ - . , , , . , - .”





  • , ?





  • -, - ?





, , . "" , =)












All Articles