พบช่องโหว่ Brute Force บน Instagram รับเงินรางวัลไปเกือบ 180,000 บาท

facebook-logo

Arne Swinnen ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเบลเยี่ยม ได้รับเงินรางวัลจาก Facebook เป็นจำนวนสูงถึง $5,000 หรือประมาณ 177,000 บาท หลังค้นพบช่องโหว่ Brute Force รหัสผ่านบนหน้าล็อกอินของ Instagram จำนวน 2 รายการ โดยสาเหตุหลักเกิดจาก Password Policy และ Control ของ Facebook ไม่แข็งแกร่งเพียงพอ

instagram_hacked_4

โจมตีแบบ Brute Force โดยใช้ Mobile Login API

Swinnen พบช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Brute Force ชื่อบัญชีของ Instagram ได้ผ่านทางช่องโหว่บน API ที่ใช้พิสูจน์ตัวตนบน Android และช่วยให้สามารถบายพาส Certificate Pinning ที่ใช้ป้องกันโจมตีแบบ Man-in-the-Middle ได้

Swinnen ระบุใน Blog ของเขาว่า การโจมตีแบบ Brute Force 1,000 ครั้งแรกบน Mobile Login API นั้น Instagram จะตอบกลับมาว่า “Password you entered is incorrect” เรียกว่าเป็น Reliable Response หลังจากนั้นอีก 1,000 ครั้ง Instagram จะตอบกลับมาว่า “Username Not Found” แทน ซึ่งเป็น Unreliable Response เนื่องจากการจัดการเรื่อง Rate Limiting Control

อย่างไรก็ตาม Swinnen ได้ทำการ Brute Force ต่อ พบว่าหลังจากครั้งที่ 2,000 เป็นต้นไป Instagram จะกลับมาตอบเป็น Reliable Response อีกครั้งหนึ่ง และสลับไปเป็น Unreliable Response ทุกๆ 1,000 ครั้ง ส่งผลให้ Swinnen สามารถเขียนสคริปต์เพื่อตรวจสอบ Reliable Response ทุกๆ 1,000 ครั้ง จนแกะรหัสผ่านได้เป็นผลสำเร็จ (โดยเฉลี่ยแล้ว Swinnen ต้องส่ง Request ไป 2 ทีเพื่อตรวจสอบรหัสผ่าน 1 ครั้ง)

ที่แย่คือ เมื่อโจมตีสำเร็จ Swinnen สามารถล็อกอินเข้าใช้ Instagram ของเหยื่อผ่านทางหมายเลข IP ที่เขาใช้โจมตีได้ทันที นับว่าเป็นเรื่องที่เลวร้ายที่สุดสำหรับการปกป้องชื่อบัญชีผู้ใช้จากการเข้าใช้งานแบบไม่มีสิทธิ์

Credit: ShutterStock.com
Credit: ShutterStock.com

โจมตีแบบ Brute Force โดยใช้ระบบลงทะเบียนผ่านหน้าเว็บ

ช่องโหว่ Brute Force ชื่อบัญชีอีกรายการหนึ่งอยู่บนหน้าลงทะเบียนผ่านเว็บของ Instagram ซึ่งไม่มีการล็อคชื่อบัญชีหลังลงล็อกอินผิดหรือระบบสำหรับจำกัดจำนวนครั้งในการล็อกอิน หลังจากที่ลองเอา Username และ Password ออกจาก Request ที่เคยส่งไปตอนแรก เพื่อตรวจสอบ Response ที่ได้จาก Instagram แล้ว Swinnen ได้ทำ Brute Force มากกว่า 10,000 ครั้งจนได้ Username และ Password ที่ถูกต้อง จาก Response ยืนยันของ Instagram

รับเงินรางวัล $5,000 เหรียญ และอุดช่องโหว่เรียบร้อย

หลังจาก Facebook ได้รับแจ้งช่องโหว่ทั้งสองเมื่อเดือนธันวาคมและเดือนกุมภาพันธ์ที่ผ่านมา ก็ได้มอบเงินรางวัลให้แก่ Swinnen เป็นจำนวนสูงถึง $5,000 ตามเงื่อนไขของ Bug Bounty Program และได้ทำการอุดช่องโหว่ทั้งหมดเป็นที่เรียบร้อยเมื่อวันที่ 10 พฤษภาคมที่ผ่านมา พร้อมปรับ Password Policy ให้ผู้ใช้ทุกคนจำเป็นต้องมีรหัสผ่านที่แข็งแกร่งยิ่งขึ้น

ที่มา: http://thehackernews.com/2016/05/hack-instagram-account.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แจกฟรีเครื่องมือ Decryptor มัลแวร์เรียกค่าไถ่ GandCrap 5.2

ในที่สุดก็มีการปล่อย GandCrap Decryptor เวอร์ชัน 5.2 ออกมาให้ใช้ได้ฟรีแล้ว จากการผนึกกำลังกันระหว่างหน่วยงานทางกฏหมายของหลายประเทศ ทั้งนี้ (คาดว่า) น่าจะเป็นเวอร์ชันสุดท้ายเพราะคนร้ายเบื้องหลังได้ประกาศเกษียณหลังจากทำรายได้เข้ากระเป๋าตัวเองไปได้กว่า 150 ล้านเหรียญสหรัฐฯ ต่อปี

‘League of Entropy’ บริการ Random Number จาก Cloudflare

ปัญหาของ Random Number นั้นมีนานแล้วและไม่ใช่เรื่องตลก หากลองถามเพื่อนโปรแกรมเมอร์หลายท่านอาจบอกว่าเลขที่สุ่มขึ้นมาของฟังก์ชันนั้นอาจจะยังไม่ใช่การสุ่มที่แท้จริง ทั้งนี้หลายแอปพลิเคชันต่างใช้ความน่าจะเป็นเหล่านี้ในกรณีต่างๆ เช่น ด้านความมั่นคงปลอดภัย แอปพลิเคชันล็อกเตอรรี่ออนไลน์ หรืออื่นๆ เป็นต้น วันนี้ Cloudflare จึงได้เปิดบริการการสร้างเลขสุ่มนี้อย่างจริงจังขึ้นภายใต้ชื่อ ‘League …