"Unggulkan" Instagram

Pada tahun 2020, bahkan jika penyerang masuk ke akun jejaring sosial Anda, itu membuat frustrasi, tetapi tidak kritis. Bagaimanapun, kami memiliki otentikasi dua faktor untuk banyak tindakan penting, dan penyerang tidak memiliki akses ke surat / telepon dan dia tidak dapat mencuri akun. Apakah begitu? Tidak.



Ini tidak terjadi dengan Instagram, sebuah jaringan sosial yang digunakan oleh 1 miliar pengguna (⅛ dari populasi dunia). Dan mereka menolak untuk memperbaikinya. Dalam artikel ini, saya akan memberi tahu Anda tentang kerentanan logis yang memungkinkan Anda untuk membajak akun seseorang hingga dia mengontaknya. dukung.



Menarik? Selamat datang di kucing!

Ubah email dan nomor telepon

Jadi, penyerang entah bagaimana memasuki akun Instagram Anda di aplikasi atau versi web. Mungkin dia baru mengetahui nama pengguna dan kata sandi Anda, atau mungkin Anda lupa logout di komputer umum, ini tidak lagi penting. Secara default, otentikasi dua faktor dinonaktifkan untuk semua orang.

Bisakah dia mengatur sesuatu seperti itu untuk mengambil alih akun Anda untuk waktu yang lama? Ya, mungkin itu masalahnya.

Pada malam hari, sekitar jam 3-4 pagi, saat Anda kemungkinan besar sedang tidur, nomor telepon terkait akan dihapus. 

• Apakah saya memerlukan konfirmasi telepon? Tidak perlu. 

  
  
  
  
  

• Akankah SMS masuk ke nomor telepon? Tidak, itu tidak akan datang.

  
  
  
  
  

• Akankah pemberitahuan push tiba di aplikasi? Tidak, itu tidak akan sampai.

  
  
  
  
  

Beberapa klik dan nomor telepon tidak lagi ditautkan, Anda hanya akan diberitahu melalui email, kemungkinan besar Anda hanya akan melihatnya di pagi hari. Lalu email, ubah juga.

• email? , . 

  
  
  
  
  

• Push- ? , .

  
  
  
  
  

email , — email . , .

“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .

Account Takeover

, . :

• “victim@example.com” - , .

  
  
  
  
  

• "evil1@anyserver.com” - .

  
  
  
  
  

• “evil2@anyserver.com” - .

  
  
  
  
  

:

1. victim@example.com evil1@anyserver.com.

   
   
   
   
   

2. evil1@anyserver.com.

   
   
   
   
   

3. evil1@anyserver.com evil2@anyserver.com.

   
   
   
   
   

4. evil2@anyserver.com.

   
   
   
   
   

5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .

   
   
   
   
   

?! , 1-5 , . , , !

3 , .   “secure your account here“. , . . , email , .

, :

1. email email/.

   
   
   
   
   

2. email, .

   
   
   
   
   

:

1. / .

   
   
   
   
   

Facebook/Instagram

“ - . , , , . , - .”

• , ?

  
  
  
  
  

• -, - ?

  
  
  
  
  

, , . "" , =)