Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил новую уязвимость в приложении для обмена фотографиями и видеозаписями Instagram, позволяющую перехватить контроль над чужой учетной записью.
В июле нынешнего года Мутия сообщил о похожей проблеме, предоставлявшей возможность взломать любой аккаунт за 10 минут. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. За информацию о баге исследователь получил $30 тыс. в рамках программы вознаграждения за найденные уязвимости.
Как и в предыдущем случае, новая уязвимость позволяет взломать любую учетную запись в Instagram. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый серверами Instagram для проверки кодов сброса пароля) может быть использован для запроса нескольких кодов различных пользователей, в результате позволяя взломать учетные записи в сервисе.
Исследователь сообщил о своей находке командам безопасности Instagram и Facebook. В этот раз за информацию об уязвимости он получил $10 тыс, сообщает SecurityLab.