Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружилуязвимость в сервисе Instagram, позволяющую перехватить контроль над чужой учетной записью.

Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый серверами Instagram для проверки кодов сброса пароля) может быть использован для запроса нескольких кодов различных пользователей, в результате позволяя взломать учетные записи в сервисе.

«Существует 1 млн вероятностей шестизначного пароля (от 000001 до 999999). При запросе паролей нескольких пользователей возможность взлома аккаунтов возрастает.

Например, если вы запрашиваете пароли 100 тыс. пользователей, используя один и тот же идентификатор устройства, вероятность успеха составит 10%.

Если мы запросим пароли для 1 млн пользователей, то сможем с легкостью взломать 1 млн учетных записей», — пояснил Мутия.

Исследователь сообщил о своей находке командам безопасности Instagram и Facebook.

За информацию об уязвимости исследователь получил награду в размере $10 тыс.

Как стало известно на прошлой неделе, Facebook расширил программу по выплате вознаграждений за выявление случаев злоупотребления данными пользователей на Instagram.

В самой соцсети Data Abuse Bounty Program была запущена в апреле 2018 года – после скандала с Cambridge Analytica.