"Feature" Instagram

Im Jahr 2020 ist es unangenehm, aber nicht kritisch, selbst wenn ein Angreifer in Ihr Konto in einem sozialen Netzwerk gelangt ist. Schließlich verfügen wir über eine Zwei-Faktor-Authentifizierung für viele wichtige Aktionen, und der Angreifer hat keinen Zugriff auf E-Mail / Telefon und kann kein Konto stehlen. Ist das so? Nein.



Dies ist bei Instagram, einem sozialen Netzwerk, das von 1 Milliarde Nutzern (⅛ der Weltbevölkerung) genutzt wird, nicht der Fall. Und sie weigerten sich, das Problem zu beheben. In diesem Artikel werde ich Sie über eine logische Sicherheitsanfälligkeit informieren, die es Ihnen ermöglichen kann, das Konto einer Person zu entführen, bis sie diese kontaktiert. Unterstützung.



Interessant? Willkommen unter dem Schnitt!

Ändern Sie E-Mail und Telefonnummer

Der Angreifer hat also irgendwie Ihr Instagram-Konto in der App oder Webversion eingegeben. Vielleicht hat er gerade Ihren Benutzernamen und Ihr Passwort herausgefunden, oder Sie haben vergessen, sich an einem öffentlichen Computer abzumelden, das ist nicht mehr so ​​wichtig. Standardmäßig ist die Zwei-Faktor-Authentifizierung für alle deaktiviert.

Kann er so etwas arrangieren, um Ihr Konto für eine lange Zeit zu übernehmen? Ja, vielleicht ist das nur das Problem.

Nachts, gegen 3-4 Uhr morgens, wenn Sie höchstwahrscheinlich schlafen, löscht er die zugehörige Telefonnummer. 

• Benötige ich eine telefonische Bestätigung? Es besteht keine Notwendigkeit. 

  
  
  
  
  

• Kommt eine SMS an die Telefonnummer? Nein, es wird nicht kommen.

  
  
  
  
  

• Kommt eine Push-Benachrichtigung in der App an? Nein, es wird nicht ankommen.

  
  
  
  
  

Ein paar Klicks und die Telefonnummer ist nicht mehr verknüpft. Sie werden nur per E-Mail benachrichtigt. Sie werden sie höchstwahrscheinlich erst am Morgen sehen. Dann E-Mail, ändern Sie es auch.

• email? , . 

  
  
  
  
  

• Push- ? , .

  
  
  
  
  

email , — email . , .

“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .

Account Takeover

, . :

• “victim@example.com” - , .

  
  
  
  
  

• "evil1@anyserver.com” - .

  
  
  
  
  

• “evil2@anyserver.com” - .

  
  
  
  
  

:

1. victim@example.com evil1@anyserver.com.

   
   
   
   
   

2. evil1@anyserver.com.

   
   
   
   
   

3. evil1@anyserver.com evil2@anyserver.com.

   
   
   
   
   

4. evil2@anyserver.com.

   
   
   
   
   

5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .

   
   
   
   
   

?! , 1-5 , . , , !

3 , .   “secure your account here“. , . . , email , .

, :

1. email email/.

   
   
   
   
   

2. email, .

   
   
   
   
   

:

1. / .

   
   
   
   
   

Facebook/Instagram

“ - . , , , . , - .”

• , ?

  
  
  
  
  

• -, - ?

  
  
  
  
  

, , . "" , =)