Hindistan’da güvenlik araştırmacısı Laxman Muthiyah, Instagram uygulamasındaki parola kurtarma mekanizmasında güvenlik açığı tespit etti.
Hintli ödül avcısı herhangi bir kullanıcıya ait parolayı sıfırlayarak kullanıcının hesabını ele geçirebildiğini açıkladı. Instagram’da bulunan mekanizma 6 haneli bir doğrulama kodunu e-posta veya telefon numarasına ileti olarak gönderiyor. Bu 6 haneli kodun geçerliliği 10 dakika sürüyor. Laxman Muthiyah brute force saldırısı ile 10 dakika içerisinde doğrulama kodunu bulup parolayı sıfırlayabildiğini belirtti.
Hintli ödül avcısı 1 milyon farklı kombinasyondan 200.000 farklı doğrulama kodu kombinasyonu ile engellenmeden hızlı bir şekilde herhangi bir hesabı ele geçirdiğini ispatlayarak, Instagram tarafından 30.000$ ödüle layık görüldü. Instagram, uygulamadaki güvenliği arttırma kararı alıp güncelleme yapacağını belirtti. Kullanıcıların bu gibi saldırılardan korunması için “two-factor authentication” işlemini aktifleştirmeleri öneriliyor.