Wie ich einen beliebigen Instagram-Account hätte hacken können - How I Could Have Hacked Any Instagram Account
(thezerohack.com)Erfahrungsbericht von jemandem, der Facebook darüber informiert und dafür eine Belohnung von 30.000 US-Dollar erhalten hat. Um den 6-stelligen Code zu erraten, der über die mobile Passwort-Wiederherstellung zugestellt wurde, wurden 10 Minuten lang von tausend IPs aus jeweils 200 Zahlenkombinationen ausprobiert. Mit insgesamt 200.000 Eingaben ließ sich das Passwort knacken.
Bei den meisten Diensten gibt es zwar Rate Limiting, dieses wurde hier jedoch durch die Nutzung vieler verschiedener IPs umgangen.
Wäre das tatsächlich nicht verhindert worden, hätten sich laut Bericht mit 5.000 IPs (bei Amazon-Kosten von etwa 150 US-Dollar) vermutlich beliebige Accounts hacken lassen.
2 Kommentare
Wenn die Eingabe des Verifizierungscodes etwa fünfmal fehlschlägt, würde es vermutlich schon reichen, den Verifizierungscode zu verwerfen und eine Neuausstellung zu erzwingen … (das sollten wir bei uns auch beheben)
Wie auch im Artikel steht, ist es sicherer, beim Zurücksetzen des Passworts auf einen per E-Mail erhaltenen Link zu klicken.