Bug Hunter找到了破解Instagram账户的方法

这个问题的答案很难找到，但一个臭虫赏金猎人却毫不费力地做到了。

比利时臭虫赏金猎人阿恩·斯温宁在图片共享社交网络Instagram中发现了两个漏洞，这两个漏洞使他能够暴力破解Instagram帐户密码，并以最小的努力接管用户帐户。

由于Instagram的弱密码策略及其使用增量用户ID的做法，这两个暴力攻击问题都是可利用的。

斯温宁在一篇描述这两个漏洞细节的博客文章中写道：“这可能会让攻击者在没有任何用户交互的情况下破坏许多帐户，包括高调的帐户”。

使用移动登录API的暴力攻击

Swinnen发现，由于安全实施不当，攻击者可能通过安卓认证API URL对任何Instagram帐户进行暴力攻击。

根据他的博客文章，对于移动登录API上的前1000次不正确的暴力尝试，Instagram回复“您输入的密码不正确”，但他也注意到，对于接下来的1000次尝试，服务器显示找不到用户名“‒；某种速率限制错误响应。

然而，斯温宁耐心地继续进行暴力攻击，并发现在第2000次尝试后，服务器再次开始显示可靠的响应，然后是不可靠的响应（即未找到用户名）。

因此，攻击者可以创建一个脚本，简单地装载可靠的暴力攻击，并重播不准确的响应，直到获得可靠的响应。他开发了一个脚本，针对目标Instagram帐户测试了10001个密码。

斯温宁说：“这次攻击的唯一限制是，对于一次可靠的密码猜测尝试，平均必须发出两次身份验证请求”。

最糟糕的是：

研究人员能够从他用来对密码进行暴力攻击的同一IP地址登录到受损帐户，这是保护帐户免受未经授权登录的最糟糕安全做法。

12月下旬，斯温宁发现了第一个漏洞并向Facebook报告。

使用基于Web的注册系统进行暴力攻击

影响Instagram网站注册页面的第二个暴力攻击漏洞是由同一名研究人员发现的，并于5月向Facebook报告。

该漏洞可能允许攻击者对Instagram Web注册端点执行另一次微不足道的暴力攻击，该攻击甚至没有触发帐户锁定或其他安全措施。
Swinnen在Instagram上注册了一个测试帐户，并记录了注册期间发送的HTTP请求。

然而，在重播删除用户名和密码参数的相同请求后，他收到了一个错误响应，上面写着“这些凭证属于活动Instagram帐户。"

由于注册页面上没有激活速率限制，Swinnen在发送正确的用户名和密码并收到页面的肯定响应之前，能够强行尝试超过10000次。

Facebook向这位研究人员颁发了5000美元的奖金，并通过限制登录尝试次数以及强化密码策略，修补了Instagram中的两个漏洞。

现在，Instagram不再允许用户选择简单的密码。它现在要求密码必须是数字、字母和标点符号的组合。该公司还建议不要在网上其他地方使用Instagram密码。

每个负责用户安全的在线网站和服务都应该采取类似的步骤。

网站和开发者的职责不是期望用户将他们的每一个在线密码都保持强大和复杂，而是通过不允许用户使用弱密码注册来执行强密码策略，并建议用户采用最好的密码管理器。