2020年に、攻撃者がソーシャルネットワークアカウントに侵入したとしても、それは苛立たしいものですが、重大ではありません。結局のところ、多くの重要なアクションに対して2要素認証があり、攻撃者はメール/電話にアクセスできず、アカウントを乗っ取ることができません。そうですか?番号。
これは、10億人のユーザー(世界の人口の1/3)が使用するソーシャルネットワークであるInstagramには当てはまりません。そして彼らはそれを修正することを拒否した。この記事では、個人のアカウントに連絡するまで、そのアカウントを乗っ取ることができる論理的な脆弱性について説明します。サポート。
面白い?猫へようこそ!
メールアドレスと電話番号を変更する
そのため、攻撃者はどういうわけかアプリまたはWebバージョンでInstagramアカウントにログインしました。おそらく彼はあなたのユーザー名とパスワードを見つけたばかりか、あるいはあなたが公共のコンピューターからログアウトするのを忘れたのかもしれませんが、これはもはやそれほど重要ではありません。デフォルトでは、2要素認証はすべてのユーザーに対して無効になっています。
彼はあなたのアカウントを長期間引き継ぐためにそのような何かを手配することができますか?はい、多分それはただの問題です。
夜、あなたが寝ている可能性が最も高い午前3時から4時頃、彼は関連する電話番号を削除します。
電話による確認が必要ですか?必要はありません。
SMSは電話番号に届きますか?いいえ、来ません。
プッシュ通知はアプリに届きますか?いいえ、届きません。
数回クリックすると電話番号がリンクされなくなり、メールでのみ通知されます。ほとんどの場合、午前中にのみ表示されます。次に、メールで変更します。
email? , .
Push- ? , .
email , — email . , .
“secure your account here” (https://instagram.com/accounts/disavow). email , . , . ? , .
Account Takeover
, . :
“victim@example.com” - , .
"evil1@anyserver.com” - .
“evil2@anyserver.com” - .
:
victim@example.com evil1@anyserver.com.
evil1@anyserver.com.
evil1@anyserver.com evil2@anyserver.com.
evil2@anyserver.com.
“secure your account here” (“https://instagram.com/accounts/disavow/**) “evil1@anyserver.com” 1, .
?! , 1-5 , . , , !
3 , . “secure your account here“. , . . , email , .
, :
email email/.
email, .
:
/ .
Facebook/Instagram
“ - . , , , . , - .”
, ?
-, - ?
, , . "" , =)