Viele IT-Unternehmen wissen um die Anfälligkeit ihrer Systeme. Deshalb loben sie Belohnungen für Hacker aus, die Lücken entdecken und ihnen diese mitteilen. Solche Bounty-Hunter-Programme können für Experten sehr lukrativ sein.
Das ist auch das Ziel: Hacker sollen die gefundenen Schwachstellen lieber mit dem Unternehmen teilen und nicht im Dark Web verhökern. Auch Facebook, zu denen Instagram gehört, betreibt diese Praxis und hat die Beträge kürzlich sogar erhöht.
Das bewog auch den indischen IT-Spezialisten Laxman Muthiyah dazu, den Anmeldevorgang von Instagram auf Schwachstellen zu prüfen. Dazu klopfte er zunächst die „Passwort zurücksetzen“-Funktion der Webseite ab. Allerdings ohne Erfolg. Instagram sendet dem Nutzer hier einen Reset-Link an seine E-Mail-Adresse – ein Zugriff ist nicht ohne weiteres möglich.
Instagrams Mobil-App verwendet einen Reset-Code
Bei der mobilen Instagram-App gibt es allerdings die zusätzliche Option, sich einen sechsstelligen Zahlencode an die Telefonnummer oder die E-Mail-Adresse senden zu lassen. Wird der Code samt Benutzernamen in der App eingegeben, kann sich der Nutzer wieder anmelden.
Somit kann sich auch jeder Angreifer einloggen, der den Code und den Nutzernamen des Instagram-Kontos kennt. Der echte Konto-Inhaber wird gleichzeitig ausgesperrt, weil das Passwort in diesem Fall zurückgesetzt wird.
Sich den Code über die E-Mail oder die Telefonnummer zu beschaffen, wäre für einen erfolgreichen Hack zu aufwendig. Allerdings erkennt Laxman, dass er diese Daten gar nicht benötigt. Er muss alle möglichen Kombinationen lediglich so lange ausprobieren, bis er die richtige findet.
Brute-Force-Attacke mit einer Million möglichen Kombinationen
Bei einem sechsstelligen Code muss der Angreifer maximal alle Zahlen von 0 bis 999.999 ausprobieren, bis er Erfolg hat. Für automatisierte Passwort-Knacker eigentlich kein Problem. Allerdings kommt erschwerend hinzu, dass der Reset-Code nur 10 Minuten gültig ist.
Außerdem lassen sich Server gegen solche „Brute-Force“-Angriffe relativ gut absichern. Facebook wird hier mit Sicherheit vorgesorgt haben und so eine Attacke eingeplant haben. Laxman beschließt es an seinem eigenen Instagram-Konto auszuprobieren.
Er fängt klein an und sendet 1.000 Anfragen mit verschiedenen Code-Zahlen an sein eigenes Instagram-Konto. 250 davon sind erfolgreich, 750 werden aber abgelehnt. Bei einem weiteren Versuch liegt die Zahl der abgelehnten Versuche noch höher – Instagram scheint den Angriff erkannt zu haben.
IP-Adressen werden nicht geblockt
In diesem Moment fällt Laxman aber auf, dass die IP-Adressen – von denen der Angriff stammt – scheinbar nicht geblockt werden. Nur die Anzahl der Anmeldeversuche pro IP-Adresse wird limitiert, die IP selber aber nicht gesperrt. Damit war klar: Wenn er für die Anmeldeversuche nur genug verschiedene IP-Adressen verwendet, wird er Erfolg haben.
Um genau zu sein, benötigte er rund 5.000 IP-Adressen für den erfolgreichen Hack. Das hört sich nach viel an, bei großen Hostern wie Amazon oder Google ist das aber kein Problem. Es hat Laxman insgesamt 150 US-Dollar gekostet, die komplette Attacke mit 1 Millionen Zahlen durchzuführen.
Nachdem er sein Konto erfolgreich gehackt hat, schickt er eine Mail mit seiner Beobachtung an Facebook. Die prüfen den Fall, zahlen dem Hacker schließlich 30.000 US-Dollar aus und schließen die Lücke. Laxman dürfte sich auch weiterhin auf die Suche von Schwachstellen machen und das Bounty-Hunter-Programm sorgt dafür, dass dieses Wissen nicht in die falschen Hände fällt.
Dieser Artikel ist auch verfügbar in: FranzösischSpanischItalienischPortugiesisch, Brasilien
