Пользователь Хабра нашел дыру в безопасности Instagram, но компания не собирается ничего исправлять.
Не секрет, что Instagram является довольно сильным источником трафика в арбитраже, и рекламные кампании там могут стоить миллионы. Не удивительно, с учетом того, что сетью пользуется практически миллиард человек. Пользователь Хабра ForbiddenWorld нашел особенность Instagram, которая может стоить вам аккаунта, и рассказал об этом на ресурсе.
Двухфакторная аутентификация в Instagram по умолчанию отключена. Обычно, если ваш аккаунт попал в руки злоумышленников, вам достаточно запросить новый пароль, и вы вернете аккаунт в свои руки. Злоумышленник может изменить e-mail адрес и убрать ваш номер телефона самостоятельно, без всяких подтверждений – в таком случае вам придет письмо на почту и больше никаких уведомлений. Более того, Instagram специально для этого случая ввел дополнительную функцию, которая позволяет вернуть аккаунт на прошлую почту – как раз, чтобы злоумышленник не мог ничего сделать. В этом функционале, как оказалось, и есть уязвимость: Если злоумышленник меняет почту два раза подряд, а после воспользуется функцией возврата к изначальной почте самостоятельно 3 раза, то снова воспользоваться функцией возврата к изначальному адресу почты будет нельзя. В дальнейшем, чтобы восстановить аккаунт придется обращаться в службу поддержки и, вероятно, доказывать, что вы изначальный владелец аккаунта.
Самое страшное в этом то, что ForbiddenWorld, нашедший ошибку, обратил на это внимание сервиса, однако служба поддержки сообщила, что данный сценарий довольно редок и не стоит делать систему защиты подобного способа.
В общем, для сохранения ваших аккаунтов не забывайте использовать двухфакторную аутентификацию, выключать ваши аккаунты на других устройствах и не сообщайте никому логины и пароли.
Источник: «Особенность» Instagram