该漏洞可能会让黑客在10分钟内入侵任何Instagram账户

Instagram发展迅速—；照片分享网络是继Facebook之后世界上最受欢迎的社交媒体网络，在用户参与和互动方面占据绝对主导地位。

尽管有先进的安全机制，但Facebook、谷歌、LinkedIn和Instagram等更大的平台并不能完全免受黑客攻击，并且存在严重漏洞。

一些漏洞最近已被修补，一些仍在修复过程中，许多其他漏洞很可能确实存在，但尚未被发现。

Instagram中的一个关键漏洞的详细信息今天在互联网上浮出水面，该漏洞可能允许远程攻击者重置任何Instagram帐户的密码，并对其进行完全控制。

印度臭虫赏金猎人Laxman Muthiyah发现并报告了该漏洞，该漏洞存在于Instagram移动版实施的密码恢复机制中。

“密码重置”或“密码恢复”功能允许用户在忘记密码的情况下重新访问其网站上的帐户。
在Instagram上，用户必须确认发送到相关手机号码或电子邮件帐户的六位数密码（10分钟后到期），以证明其身份。

这意味着，每一百万个组合中就有一个可以使用蛮力攻击解锁任何Instagram帐户，但这并不像听起来那么简单，因为Instagram启用了速率限制来防止此类攻击。

然而，Laxman发现，通过从不同的IP地址发送暴力请求，并利用竞争条件，发送并发请求以同时处理多个尝试，可以绕过这种速率限制。

Laxman告诉《黑客新闻》：“竞争风险（并发请求）和IP轮换让我可以绕过它。否则，这是不可能的。10分钟的到期时间是他们限速机制的关键，这就是为什么他们没有强制执行永久性代码屏蔽。”。

如上面的视频演示所示，Laxman成功演示了劫持Instagram帐户的漏洞，快速尝试了200000种不同的密码组合（占总数的20%），而没有被阻止。

“在一个真实的攻击场景中，攻击者需要5000个IP才能入侵一个帐户。这听起来很大，但如果你使用亚马逊或谷歌这样的云服务提供商，这其实很容易。完成100万个代码的完整攻击大约需要150美元。”

Laxman还发布了一个针对该漏洞的概念验证漏洞，该漏洞现已由Instagram修补。作为漏洞奖励计划的一部分，该公司向Laxman颁发了3万美元的奖励。

为了保护您的帐户免受多种类型的在线攻击，以及减少攻击者直接攻击易受攻击的应用程序时您受到攻击的可能性，强烈建议用户启用“双因素身份验证”，这可以防止黑客访问您的帐户，即使他们设法窃取了您的密码。