Breaking News

พบช่องโหว่ Brute Force บน Instagram รับเงินรางวัลไปเกือบ 180,000 บาท

facebook-logo

Arne Swinnen ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเบลเยี่ยม ได้รับเงินรางวัลจาก Facebook เป็นจำนวนสูงถึง $5,000 หรือประมาณ 177,000 บาท หลังค้นพบช่องโหว่ Brute Force รหัสผ่านบนหน้าล็อกอินของ Instagram จำนวน 2 รายการ โดยสาเหตุหลักเกิดจาก Password Policy และ Control ของ Facebook ไม่แข็งแกร่งเพียงพอ

instagram_hacked_4

โจมตีแบบ Brute Force โดยใช้ Mobile Login API

Swinnen พบช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force ชื่อบัญชีของ Instagram ได้ผ่านทางช่องโหว่บน API ที่ใช้พิสูจน์ตัวตนบน Android และช่วยให้สามารถบายพาส Certificate Pinning ที่ใช้ป้องกันโจมตีแบบ Man-in-the-Middle ได้

Swinnen ระบุใน Blog ของเขาว่า การโจมตีแบบ Brute Force 1,000 ครั้งแรกบน Mobile Login API นั้น Instagram จะตอบกลับมาว่า “Password you entered is incorrect” เรียกว่าเป็น Reliable Response หลังจากนั้นอีก 1,000 ครั้ง Instagram จะตอบกลับมาว่า “Username Not Found” แทน ซึ่งเป็น Unreliable Response เนื่องจากการจัดการเรื่อง Rate Limiting Control

อย่างไรก็ตาม Swinnen ได้ทำการ Brute Force ต่อ พบว่าหลังจากครั้งที่ 2,000 เป็นต้นไป Instagram จะกลับมาตอบเป็น Reliable Response อีกครั้งหนึ่ง และสลับไปเป็น Unreliable Response ทุกๆ 1,000 ครั้ง ส่งผลให้ Swinnen สามารถเขียนสคริปต์เพื่อตรวจสอบ Reliable Response ทุกๆ 1,000 ครั้ง จนแกะรหัสผ่านได้เป็นผลสำเร็จ (โดยเฉลี่ยแล้ว Swinnen ต้องส่ง Request ไป 2 ทีเพื่อตรวจสอบรหัสผ่าน 1 ครั้ง)

ที่แย่คือ เมื่อโจมตีสำเร็จ Swinnen สามารถล็อกอินเข้าใช้ Instagram ของเหยื่อผ่านทางหมายเลข IP ที่เขาใช้โจมตีได้ทันที นับว่าเป็นเรื่องที่เลวร้ายที่สุดสำหรับการปกป้องชื่อบัญชีผู้ใช้จากการเข้าใช้งานแบบไม่มีสิทธิ์

Credit: ShutterStock.com
Credit: ShutterStock.com

โจมตีแบบ Brute Force โดยใช้ระบบลงทะเบียนผ่านหน้าเว็บ

ช่องโหว่ Brute Force ชื่อบัญชีอีกรายการหนึ่งอยู่บนหน้าลงทะเบียนผ่านเว็บของ Instagram ซึ่งไม่มีการล็อคชื่อบัญชีหลังลงล็อกอินผิดหรือระบบสำหรับจำกัดจำนวนครั้งในการล็อกอิน หลังจากที่ลองเอา Username และ Password ออกจาก Request ที่เคยส่งไปตอนแรก เพื่อตรวจสอบ Response ที่ได้จาก Instagram แล้ว Swinnen ได้ทำ Brute Force มากกว่า 10,000 ครั้งจนได้ Username และ Password ที่ถูกต้อง จาก Response ยืนยันของ Instagram

รับเงินรางวัล $5,000 เหรียญ และอุดช่องโหว่เรียบร้อย

หลังจาก Facebook ได้รับแจ้งช่องโหว่ทั้งสองเมื่อเดือนธันวาคมและเดือนกุมภาพันธ์ที่ผ่านมา ก็ได้มอบเงินรางวัลให้แก่ Swinnen เป็นจำนวนสูงถึง $5,000 ตามเงื่อนไขของ Bug Bounty Program และได้ทำการอุดช่องโหว่ทั้งหมดเป็นที่เรียบร้อยเมื่อวันที่ 10 พฤษภาคมที่ผ่านมา พร้อมปรับ Password Policy ให้ผู้ใช้ทุกคนจำเป็นต้องมีรหัสผ่านที่แข็งแกร่งยิ่งขึ้น

ที่มา: http://thehackernews.com/2016/05/hack-instagram-account.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ …

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …