Lỗi bảo mật của Instagram cho phép hacker đánh cắp bất cứ tài khoản nào.
Theo thông tin nhà nghiên cứu bảo mật Laxman Muthiyah tiết lộ trên blog cá nhân thì người này đã phát hiện ra lỗ hổng bảo mật trên Instagram, cho phép hacker xâm nhập bất cứ tài khoản nào. Anh đã phát hiện bằng cách kiểm tra giao diện web rồi kiểm tra trên ứng dụng Instagram. Tất nhiên, Instagram gửi mã OTP gồm sáu chữ số để đặt lại mật khẩu khi người dùng bị quên mật khẩu như tất cả các ứng dụng khác. Laxman bắt đầu thực hiện một cuộc tấn công nhằm đào sâu vào cách mà hệ thống này xử lý khi có địa chỉ lạ cố tình xâm nhập tài khoản. Và nhà nghiên cứu trẻ đã phát hiện ra rằng dù một địa chỉ IP nào đó được sử dụng cho một cuộc tấm công xâm nhập tài khoản bất hợp pháp, thì Instagram không hoàn toàn cho địa chỉ này vào danh sách đen.
Tiếp tục khai thác lỗ hổng của Instagram, Laxman sử dụng phương thức Race Hazard – lợi dụng tình trạng một hệ thống hoạt động sai khi nhận nhiều yêu cầu cùng một lúc và IP rotation. Với hơn 1000 IP khác nhau trong các bài kiểm tra của mình, anh đã gửi cho Instagram khoảng 200.000 yêu cầu. Anh cho biết các hacker thực thụ sẽ cần khoảng 5000 IP có thể dễ dàng thuê từ các nhà cung cấp dịch vụ đám mây như Amazon hoặc Google với giá dưới 150 USD. Từ thử nghiệm này, Laxman đi đến kết luận rằng tất cả các tài khoản Instagram đang bị đe dọa nghiêm trọng khi chỉ cần lợi dụng lỗ hổng và một vài thủ thuật đơn giản, hacker dễ dàng lấy đc mật khẩu vầ xâm nhập, đánh cắp trái phép thông tin cá nhân của người dùng.
Với phát hiện này, Laxman Muthiyah được thưởng số tiền 30.000 đô. Thật may mắn khi lỗ hổng này được phát hiện bởi một nhà nghiên cứu bảo mật. Nếu hacker tìm thấy và khai thác lỗ hổng này, có lẽ người dùng Instagram sẽ là các nạn nhân tiếp theo bị lộ thông tin cá nhân.