في عام 2020 ، حتى لو دخل أحد المهاجمين إلى حسابك على شبكة التواصل الاجتماعي ، فهذا أمر محبط ، ولكنه ليس حرجًا. بعد كل شيء ، لدينا مصادقة ثنائية للعديد من الإجراءات المهمة ، ولا يمتلك المهاجم إمكانية الوصول إلى البريد / الهاتف ولا يمكن اختراق الحساب. هل هذا صحيح؟ لا. ليس
هذا هو الحال مع Instagram ، وهي شبكة اجتماعية يستخدمها مليار مستخدم (⅛ من سكان العالم). ورفضوا إصلاحه. في هذه المقالة ، سأخبرك عن ثغرة منطقية يمكن أن تسمح لك باختطاف حساب شخص ما حتى يتصل بهم. الدعم.
مثير للإعجاب؟ مرحبا بكم تحت الخفض!
تغيير البريد الإلكتروني ورقم الهاتف
لذلك ، قام المهاجم بطريقة ما بتسجيل الدخول إلى حساب Instagram الخاص بك في التطبيق أو إصدار الويب. ربما اكتشف للتو اسم المستخدم وكلمة المرور الخاصين بك ، أو ربما نسيت تسجيل الخروج من جهاز كمبيوتر عام ، لم يعد هذا مهمًا للغاية. بشكل افتراضي ، يتم تعطيل المصادقة ذات العاملين للجميع.
هل يمكنه فعل شيء من هذا القبيل للسيطرة على حسابك لفترة طويلة؟ نعم ، ربما هذه هي المشكلة فقط.
في الليل ، حوالي 3-4 صباحًا ، عندما تكون نائمًا على الأرجح ، يحذف رقم الهاتف المرتبط.
هل أحتاج إلى تأكيد الهاتف؟ لا حاجة لذلك.
هل ستصل رسالة SMS إلى رقم الهاتف؟ لا ، لن يأتي.
هل سيصل إشعار الدفع في التطبيق؟ لا ، لن تصل.
بضع نقرات ولم يعد رقم الهاتف مرتبطًا ، سيتم إخطارك بالبريد فقط ، على الأرجح ستراه فقط في الصباح. ثم البريد الإلكتروني ، قم بتغييره أيضًا.
email? , .
Push- ? , .
email , — email . , .
“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .
Account Takeover
, . :
“victim@example.com” - , .
"evil1@anyserver.com” - .
“evil2@anyserver.com” - .
:
victim@example.com evil1@anyserver.com.
evil1@anyserver.com.
evil1@anyserver.com evil2@anyserver.com.
evil2@anyserver.com.
“secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .
?! , 1-5 , . , , !
3 , . “secure your account here“. , . . , email , .
, :
email email/.
email, .
:
/ .
Facebook/Instagram
“ - . , , , . , - .”
, ?
-, - ?
, , . "" , =)