ADPT

พบช่องโหว่ Brute Force บน Instagram รับเงินรางวัลไปเกือบ 180,000 บาท

facebook-logo

Arne Swinnen ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเบลเยี่ยม ได้รับเงินรางวัลจาก Facebook เป็นจำนวนสูงถึง $5,000 หรือประมาณ 177,000 บาท หลังค้นพบช่องโหว่ Brute Force รหัสผ่านบนหน้าล็อกอินของ Instagram จำนวน 2 รายการ โดยสาเหตุหลักเกิดจาก Password Policy และ Control ของ Facebook ไม่แข็งแกร่งเพียงพอ

instagram_hacked_4

โจมตีแบบ Brute Force โดยใช้ Mobile Login API

Swinnen พบช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force ชื่อบัญชีของ Instagram ได้ผ่านทางช่องโหว่บน API ที่ใช้พิสูจน์ตัวตนบน Android และช่วยให้สามารถบายพาส Certificate Pinning ที่ใช้ป้องกันโจมตีแบบ Man-in-the-Middle ได้

Swinnen ระบุใน Blog ของเขาว่า การโจมตีแบบ Brute Force 1,000 ครั้งแรกบน Mobile Login API นั้น Instagram จะตอบกลับมาว่า “Password you entered is incorrect” เรียกว่าเป็น Reliable Response หลังจากนั้นอีก 1,000 ครั้ง Instagram จะตอบกลับมาว่า “Username Not Found” แทน ซึ่งเป็น Unreliable Response เนื่องจากการจัดการเรื่อง Rate Limiting Control

อย่างไรก็ตาม Swinnen ได้ทำการ Brute Force ต่อ พบว่าหลังจากครั้งที่ 2,000 เป็นต้นไป Instagram จะกลับมาตอบเป็น Reliable Response อีกครั้งหนึ่ง และสลับไปเป็น Unreliable Response ทุกๆ 1,000 ครั้ง ส่งผลให้ Swinnen สามารถเขียนสคริปต์เพื่อตรวจสอบ Reliable Response ทุกๆ 1,000 ครั้ง จนแกะรหัสผ่านได้เป็นผลสำเร็จ (โดยเฉลี่ยแล้ว Swinnen ต้องส่ง Request ไป 2 ทีเพื่อตรวจสอบรหัสผ่าน 1 ครั้ง)

ที่แย่คือ เมื่อโจมตีสำเร็จ Swinnen สามารถล็อกอินเข้าใช้ Instagram ของเหยื่อผ่านทางหมายเลข IP ที่เขาใช้โจมตีได้ทันที นับว่าเป็นเรื่องที่เลวร้ายที่สุดสำหรับการปกป้องชื่อบัญชีผู้ใช้จากการเข้าใช้งานแบบไม่มีสิทธิ์

Credit: ShutterStock.com
Credit: ShutterStock.com

โจมตีแบบ Brute Force โดยใช้ระบบลงทะเบียนผ่านหน้าเว็บ

ช่องโหว่ Brute Force ชื่อบัญชีอีกรายการหนึ่งอยู่บนหน้าลงทะเบียนผ่านเว็บของ Instagram ซึ่งไม่มีการล็อคชื่อบัญชีหลังลงล็อกอินผิดหรือระบบสำหรับจำกัดจำนวนครั้งในการล็อกอิน หลังจากที่ลองเอา Username และ Password ออกจาก Request ที่เคยส่งไปตอนแรก เพื่อตรวจสอบ Response ที่ได้จาก Instagram แล้ว Swinnen ได้ทำ Brute Force มากกว่า 10,000 ครั้งจนได้ Username และ Password ที่ถูกต้อง จาก Response ยืนยันของ Instagram

รับเงินรางวัล $5,000 เหรียญ และอุดช่องโหว่เรียบร้อย

หลังจาก Facebook ได้รับแจ้งช่องโหว่ทั้งสองเมื่อเดือนธันวาคมและเดือนกุมภาพันธ์ที่ผ่านมา ก็ได้มอบเงินรางวัลให้แก่ Swinnen เป็นจำนวนสูงถึง $5,000 ตามเงื่อนไขของ Bug Bounty Program และได้ทำการอุดช่องโหว่ทั้งหมดเป็นที่เรียบร้อยเมื่อวันที่ 10 พฤษภาคมที่ผ่านมา พร้อมปรับ Password Policy ให้ผู้ใช้ทุกคนจำเป็นต้องมีรหัสผ่านที่แข็งแกร่งยิ่งขึ้น

ที่มา: http://thehackernews.com/2016/05/hack-instagram-account.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 เหตุผลทำไมควรปกป้อง Multi-cloud Apps ด้วย McAfee MVISION CNAPP

เกือบทุกบริษัท ตั้งแต่ธุรกิจ SMB ไปจนถึงองค์กรขนาดใหญ่ ต่างใช้ระบบ Cloud กันทั้งสิ้น อีกทั้งหลายๆ บริษัทเริ่มใช้ระบบ Cloud จากผู้ให้บริการหลายๆ รายเพื่อให้ได้ผลลัพธ์เชิงธุรกิจที่ดีที่สุด กลายเป็นสถาปัตยกรรมแบบ Multi-cloud ซึ่งก่อให้เกิดปัญหาด้าน …

TechTalk x ACIS Webinar: Privacy and Data Resilience

ACIS Professional Center ร่วมกับ TechTalkThai ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity เข้าร่วมสัมมนาออนไลน์ “Privacy and Data Resilience” พร้อมแชร์กระบวนการและเครื่องมือที่ใช้สำหรับปกป้องข้อมูลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจากการทำงานจริง …