По словам Мутийи, у Instagram достаточно защищенный механизм сброса пароля, основанный на ссылках, из-за чего специалист переключился на мобильный процесс восстановления. Когда пользователь вводит свой номер телефона, ему на устройство направляется шестизначный код, который он должен ввести, чтобы изменить пароль.
Специалист решил попробовать отправить миллион кодов, чтобы угадать комбинацию, но столкнулся с тем, что системы Instagram проверяют и корректно ограничивают запросы. Мутийя мог отправлять их непрерывно, не блокируясь, но их количество за короткий промежуток времени строго определено.
«Белый» хакер использовал тысячу IP-адресов, и ему удалось отправить более 200 тысяч запросов (20% от одного миллиона) в течение десяти минут, чтобы обойти ограничение. Как отметил исследователь, во время реальной атаки злоумышленнику понадобится 5 тысяч IP-адресов для взлома учетной записи. Вся операция может обойтись примерно в $150.
