Instagram වල two-factor authentication ක්‍රමයෙහි තිබුණු දුර්වලතාවයක් භාවිතා කරමින් ඕනෑම Instagram account එකක් hack කිරීමේ හැකියාවක් පවතින බව පසුගියදා වාර්ථා වූ අතර මේ වන විට එය fix කිරීමට Instagram ආයතනය කටයුතු කර තිබෙනවා.

2017 වර්ෂයේදී two-factor authentication පහසුකම Instagram වලට එකතු කිරීමට ඔවුන් කටයුතු කළ අතර ඉන් පසුව ක්‍රමයෙන් third-party authenticator apps භාවිතා කිරීමේ හැකියාව ද ලබා දීමට ඔවුන් කටයුතු කරනු ලැබුවා.

කොහොම වුණත් පසුගිය දිනක ඉන්දියානු security researcher කෙනෙකු වූ Laxman Muthiyah විසින් කිසිඳු අවසරයකින් තොරව ඕනෑම Instagram account එකකට පිවිසිය හැකි ක්‍රමයක් සොයාගැනීමට සමත් වූ අතර, ඒ පිළිබඳව Instagram ආයතනය දැනුවත් කිරීමට ද කටයුතු කරනු ලැබුවා.

මේ දුර්වලතාවය සොයාදීම වෙනුවෙන් Facebook bug bounty වැඩසටහන යටතේ Muthiyah හට ඇමෙරිකානු ඩොලර් 30,000ක මුදල් ත්‍යාගයක් ද ලබා දීමට ඔවුන් කටයුතු කළ අතර මේ වන විට එම දුර්වලතාවය fix කිරීමට Facebook ආයතනය කටයුතු කර තිබෙන බව වාර්ථා වෙනවා.

Instagram mobile app එක හරහා password එක reset කිරීමට උත්සාහ කිරීමේදී ඉලක්කම් 6කින් යුතු code එකක් SMS හරහා අදාල ජංගම දුරකථනයට එවීමට Instagram ආයතනය කටයුතු කරනු ලබන අතර, මෙහිදී ඉලක්කම් 6 සඳහා වන මිලියනයක සම්පූර්ණ combinations සංඛ්‍යාව සඳහා Brute-force attack එකක් සිදු කිරීමට මොහු සමත් වී තිබෙනවා.

මේ ආකාරයෙන් එවන ලද SMS Code එක මිනිත්තු 10ක් ඇතුලත කල්ඉකුත් වන බැවින්, එම කාලය ඇතුලත අදාල attack එක සිදු කිරීම සඳහා cloud computing සේවාවන් හරහා මිලදීගත් IP address 1,000ක් පමණ භාවිතා කර ඇති බවත්, අදාල attack එක worst-case scenario එක, එහෙමත් නැතිනම් සිදු කිරීමට අපහසුම ආකාරයෙන් සිදු කළහොත්, ඒ සඳහා IP address 5,000ක් පමණ අවශ්‍යය වන බවත් ඔහු පෙන්වා දෙනවා.

IP address 5,000ක් විශාල ප්‍රමාණයක් ලෙස සිතුනත්, ඇමෙරිකානු ඩොලර් 150ක් වැනි මුදලකට එම ප්‍රමාණය Google Cloud හෝ AWS වැනි සේවාවක් හරහා මිලදීගත හැකි බව ඔහු වැඩිදුරටත් පෙන්වා දෙනවා.

මේ ගැන වැඩිදුර විස්තර දැනගැනීම සඳහා TheZeroHack වෙබ් අඩවිය, Beebom වෙබ් අඩවිය හා TheNewsMinute වෙබ් අඩවිය භාවිතා කළ හැක.