Baru-baru ini ditemukan kerentanan kritis dalam Instagram yang memungkinkan penyerang mengambil alih sepenuhnya akun siapapun tanpa interaksi dari pengguna. Kerentanan Instagram ini dilaporkan ke pihak terkait oleh pakar keamanan India, Laxman Muthiyah.
Menurut Muthiyah, kerentanan tersebut mempengaruhi mekanisme “setel ulang kata sandi (password reset)” yang diterapkan oleh Instagram untuk versi layanan seluler. Ketika pengguna Instagram meminta untuk memulihkan kata sandi mereka, mereka harus mengonfirmasi kode sandi enam digit (yang kadaluwarsa setelah 10 menit) yang dikirimkan ke nomor ponsel atau akun email akun terkait. Berarti, bahwa untuk mengubah kata sandi dalam kasus ini, penyerang perlu mencoba satu juta kombinasi yang mungkin.
Pakar memfokuskan pengujian pada jumlah maksimum permintaan yang diizinkan dan menemukan tidak adanya daftar hitam (blacklist). Dia dapat mengirim permintaan terus menerus tanpa diblokir bahkan ketika dia mencapai jumlah maksimum permintaan yang dapat dia kirimkan dalam waktu singkat.
“Ketika pengguna memasukkan nomor ponselnya, mereka akan mengirim kode sandi enam digit ke nomor ponsel mereka. Mereka harus memasukkannya untuk mengubah kata sandi mereka. Karenanya, jika kita dapat mencoba semua satu juta kode pada titik akhir kode-verifikasi, kita akan dapat mengubah kata sandi akun mana pun.” Menurut analisis pakar keamanan.
“Tapi aku cukup yakin bahwa harus ada batasan tertentu terhadap serangan brute-force semacam itu. Saya memutuskan untuk mengujinya. Dua hal yang terlintas dalam pikiran adalah jumlah permintaan dan tidak adanya blacklist.”
Akhirnya, ia menemukan dua hal yang memungkinkannya melewati mekanisme rate limit, yaitu race condition dan IP rotation.
“Mengirim permintaan bersamaan menggunakan beberapa IP memungkinkan saya untuk mengirim sejumlah besar permintaan tanpa menjadi terbatas,” kata pakar keamanan. “Jumlah permintaan yang dapat dikirim tergantung pada konkurensi permintaan dan jumlah IP yang digunakan. Juga, saya menyadari bahwa kodenya kedaluwarsa dalam 10 menit, itu membuat serangan lebih sulit, oleh karena itu kita membutuhkan 1000 IP untuk melakukan serangan.”
Pakar keamanan juga menerbitkan video PoC tentang serangan yang menunjukkan eksploitasi kerentanan saat meretas akun Instagram menggunakan 200.000 kombinasi kode yang berbeda tanpa diblokir.
Laxman Muthiyah dikabarkan menerima hadiah sebesar $30.000 sebagai bagian dari program bug bounty.
