"Destaque" Instagram

Em 2020, mesmo que um invasor entre em sua conta de rede social, é desagradável, mas não crítico. Afinal, temos autenticação de dois fatores para muitas ações importantes, mas o invasor não tem acesso a e-mail / telefone e não pode roubar uma conta. É assim mesmo? Não.



Esse não é o caso do Instagram, uma rede social usada por 1 bilhão de usuários (⅛ da população mundial). E eles se recusaram a consertar. Neste artigo, vou falar sobre uma vulnerabilidade lógica que pode permitir que você sequestre a conta de uma pessoa até que ela entre em contato com ela. Apoio, suporte.



Interessante? Bem-vindo ao gato!

Alterar e-mail e número de telefone

Assim, o invasor de alguma forma se conectou à sua conta do Instagram no aplicativo ou versão web. Talvez ele acabou de descobrir seu nome de usuário e senha, ou talvez você tenha esquecido de fazer logout em um computador público, isso não é mais tão importante. Por padrão, a autenticação de dois fatores está desabilitada para todos.

Ele pode fazer algo assim para assumir o controle da sua conta por muito tempo? Sim, talvez seja esse o problema.

À noite, por volta das 3-4 da manhã, quando você provavelmente está dormindo, ele exclui o número de telefone associado. 

• Preciso de confirmação por telefone? Não há necessidade. 

  
  
  
  
  

• Um SMS chegará ao número do telefone? Não, isso não virá.

  
  
  
  
  

• Uma notificação push chegará no aplicativo? Não, não vai chegar.

  
  
  
  
  

Alguns cliques e o número de telefone não está mais vinculado, você será notificado apenas por e-mail, provavelmente só verá pela manhã. Então e-mail, mude também.

• email? , . 

  
  
  
  
  

• Push- ? , .

  
  
  
  
  

email , — email . , .

“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .

Account Takeover

, . :

• “victim@example.com” - , .

  
  
  
  
  

• "evil1@anyserver.com” - .

  
  
  
  
  

• “evil2@anyserver.com” - .

  
  
  
  
  

:

1. victim@example.com evil1@anyserver.com.

   
   
   
   
   

2. evil1@anyserver.com.

   
   
   
   
   

3. evil1@anyserver.com evil2@anyserver.com.

   
   
   
   
   

4. evil2@anyserver.com.

   
   
   
   
   

5.   “secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .

   
   
   
   
   

?! , 1-5 , . , , !

3 , .   “secure your account here“. , . . , email , .

, :

1. email email/.

   
   
   
   
   

2. email, .

   
   
   
   
   

:

1. / .

   
   
   
   
   

Facebook/Instagram

“ - . , , , . , - .”

• , ?

  
  
  
  
  

• -, - ?

  
  
  
  
  

, , . "" , =)