Instagram bị hack vào máy chủ và trang quản trị

Đã bao giờ bạn từng hỏi làm sao để hack Instagram hay làm sao để hack tài khoản Facebook? Một nhà nghiên cứu đã tìm được cách thể truy cập vào thông tin nhạy cảm trên máy chủ của Instagram.

Một nhà nghiên cứu độc lập có tên Wesley Weinberg cho biết ông đã phát hiện một loạt các lỗ hổng bảo mật và lỗ hổng cấu hình cho phép ông truy cập vào máy chủ Instagram chứa:

• Mã nguồn của website Instagram
•  Chứng chỉ SSL và Khóa riêng tư của Instagram
• Khóa sử dụng để kí cookie xác thực
• Chi tiết cá nhân của người dùng Instagram và nhân viên
• Tài khoản email server
• Khóa  dành cho hàng chục tính năng quan trọng khác

Wesley tham gia vào chương trình bug bounty của Facebook và bắt đầu nghiên cứu hệ thống Instagram sau khi một người bạn của ông gợi ý một lỗ hổng tiềm tàng  tại địa chỉ  sensu.instagram.com

Lỗ hổng RCE (Remote Code Execution) nằm trong cách xử lý cookie phiên làm việc của người dùng, thường được sử dụng để ghi nhớ người dùng đã đăng nhập. Lỗ hổng thực thi mã từ xa do điểm yếu trong:

• Ứng dụng web Sensu-Admin chạy trên máy chủ chứa hard-coded token bí mật Ruby
• Host chạy phiên bản Ruby (3.x)  dễ bị ảnh hưởng bởi thực thi mã từ xa thông qua Ruby session cookie

Thông qua khai thác lỗ hổng, Wesley đã buộc máy chủ phải đưa ra cơ sở dữ liệu chứa chi tiết đăng nhập, tài khoản của nhân viên Instagram và Facebook. Mặc dù mật khẩu được mã hóa với “bcrypt”, Wesley vẫn có thể bẻ khóa mật khẩu chỉ trong vài phút.

Wesley không dừng lại ở đó, ông còn tìm hiểu sâu hơn vào file cấu hình ông tìm thấy trên máy chủ và phát hiện một trong những file đó chứ khóa dành cho tài khoản Amazon Web Services, dịch vụ điện toán đám mây lưu trữ cài đặt  Sensu của Instagram.

Facebook xác nhận lỗ hổng thực thi mã từ xa tồn tại và hứa sẽ trao thưởng $2,500 cho Wesley và cả người bạn của ông. Tuy nhiên lỗ hổng cho phép Wesley truy cập vào dữ liệu nhạy cảm đã vi phạm quyền riêng tư người dùng.

THN