Comment j’ai réussi à pirater un compte Instagram — How I Could Have Hacked Any Instagram Account
(thezerohack.com)Témoignage d’une personne qui a signalé le problème à Facebook et reçu une récompense de 30 K$. Pour retrouver le code à 6 chiffres reçu via la récupération de mot de passe mobile, elle a tenté 200 combinaisons par IP depuis un millier d’IP pendant 10 minutes. Au total, 200 000 saisies numériques ont permis de compromettre le mot de passe.
La plupart des services appliquent du rate limiting, mais ici il a été contourné en utilisant de multiples adresses IP.
Si cela n’avait réellement pas été bloqué, il aurait été possible, avec 5 000 IP (pour un coût Amazon d’environ 150 $), de pirater pratiquement n’importe quel compte.
2 commentaires
Il suffirait sans doute d’invalider le code de vérification et d’en réémettre un nouveau après environ 5 échecs de saisie… (il va falloir qu’on corrige ça chez nous aussi)
Comme indiqué dans l’article, la méthode de récupération du mot de passe la plus sûre est celle qui consiste à cliquer sur le lien reçu par e-mail.