นักวิจัยด้านความปลอดภัยได้เปิดเผยข้อผิดพลาดในขั้นตอนการกู้คืนบัญชีของ Instagram ซึ่งอาจถูกนำมาใช้เพื่อเจาะเข้าสู่บัญชีของผู้คนได้
โดยนักวิจัย Laxman Muthiyah พบข้อผิดพลาดขณะตรวจสอบว่า Instagram ช่วยให้คุณสามารถเข้าถึงบัญชีของคุณได้อย่างไรในกรณีที่คุณลืมรหัสผ่าน เพื่อพิสูจน์ตัวตนของคุณ Instagram มีความสามารถในการส่งรหัสสุ่มหกหลักไปยังสมาร์ทโฟนของคุณผ่านข้อความ SMS จากนั้นคุณจะถูกขอให้ป้อนตัวเลขลงในแอป
Muthiyah สงสัยว่าถ้าใครที่ต้องอยากรู้รหัสของใครสักคน เขาสามารถรันชุดค่าตัวเลขจำนวนมากเพื่อลองและเดารหัสที่ถูกต้อง ซึ่งสามารถทำได้ภายใต้เงื่อนไขบางประการของ Instagram โดย Instagram มีข้อจำกัดบางประการเกี่ยวกับการป้อนรหัสในกระบวนการกู้คืนบัญชี ซึ่งรวมถึงการเดาได้มากถึง 250 ต่อที่อยู่ IP ซึ่งถ้าเรามีคอมสองเครื่องคนละ IP กัน เราก็สามารถเดาได้ถึง 500 ครั้งเลยทีเดียว
การค้นหารหัสหกหลักหมายความว่ามีชุดค่าผสมรวมที่แตกต่างกันนับล้านให้ลอง มากเกินไปสำหรับมนุษย์ที่จะป้อนข้อมูล อย่างไรก็ตาม Muthiyah พบว่าเขาสามารถโจมตี Instagram ด้วย API ได้โดยอัตโนมัติ เขาทำสิ่งนี้โดยการเขียนสคริปต์การเขียนโปรแกรมเพื่อป้อนการคาดเดาจำนวนมากพร้อมกับรายการที่อยู่ IP ที่สลับเปลี่ยนได้ และนั่นทำให้เขาสามารถลองเปลี่ยนจำนวนได้ไม่จำกัด
ทั้งนี้ Muthiyah อัปโหลดวิดีโอสาธิตการโจมตีซึ่งแสดงให้เห็นว่าเขาสามารถรันรหัส 200,000 ครั้งเพื่อเจาะเข้าสู่บัญชีทดสอบ Instagram โดยในสถานการณ์การโจมตีจริงผู้โจมตีต้องการ 5,000 IP เพื่อแฮ็คบัญชี ซึ่งมันฟังดูใหญ่ แต่จริง ๆ แล้วง่ายถ้าคุณใช้ผู้ให้บริการคลาวด์อย่าง Amazon หรือ Google มันมีราคาประมาณ $ 150 เพื่อทำการโจมตีได้กว่า 1 ล้านครั้ง โดยเขาเขียนไว้ในโพสต์ บล็อก ของเขา
