Mr Wineberg, mulai penelitiannya ke dalam sistem Instagram mengikuti tip yang ia terima dari seorang teman, bahwa halaman Web sensu.instagram.com, sebuah panel administrasi untuk layanan Instagram, adalah tersedia untuk umum melalui Internet.
Peneliti cepat melacak perangkat lunak yang digunakan untuk menjalankan panel administrasi, sebagai Sensu-Admin, dan menggunakan penelitian yang lebih tua yang mengatakan perangkat lunak mungkin rentan terhadap RCE (eksekusi kode jauh), ia akhirnya berhasil memecahkan layanan dan akses satu dari file konfigurasi yang berisi mandat untuk database PostgreSQL Sensu terkait.
Dalam database ini, Mr. Wineberg ditemukan lebih dari 60 rekening milik karyawan Instagram dan Facebook. Dia mengikuti penyelidikan dengan mengambil beberapa string password, dienkripsi melalui bcrypt, dan melanjutkan untuk memecahkan mereka.
Sejak beberapa password yang cukup lemah (misalnya: changeme, instagram, password), hasil muncul dalam beberapa menit, dan ia dengan cepat dapat menindaklanjuti penyelidikan, dengan masuk pada interface sensu.instagram.com.
Dalam database ini, Mr. Wineberg ditemukan lebih dari 60 rekening milik karyawan Instagram dan Facebook. Dia mengikuti penyelidikan dengan mengambil beberapa string password, dienkripsi melalui bcrypt, dan melanjutkan untuk memecahkan mereka.
Sejak beberapa password yang cukup lemah (misalnya: changeme, instagram, password), hasil muncul dalam beberapa menit, dan ia dengan cepat dapat menindaklanjuti penyelidikan, dengan masuk pada interface sensu.instagram.com.
Mr Wineberg menemukan Instagram surga: semua selfies di dunia
Tapi Pak Wineberg tidak berhenti di sini, dan dia juga telah melihat file konfigurasi lainnya ia menemukan pada server. Di sini, di salah satu file, ia menemukan kunci akses ke akun AWS (Amazon Web Services), yang kemudian digunakan untuk mengakses beberapa ember S3 (unit penyimpanan data).
Peneliti perjalanan liar ke lubang kelinci Instagram backend tidak berhenti di sini, meskipun, dan ia menemukan belum kunci AWS lain, yang menyebabkan dia untuk yang lain 82 AWS S3 ember, tapi ember ini adalah khusus.
Mr. Wineberg telah sengaja tersandung pada Instagram Indonesia sumber, sertifikat SSL, kunci API lain yang digunakan untuk berinteraksi dengan layanan lainnya, gambar pengguna, konten statis dari situs instagram.com, atau sebagai peneliti fasih meletakkannya: "SEMUANYA" (selfies termasuk) .
Mr. Wineberg telah sengaja tersandung pada Instagram Indonesia sumber, sertifikat SSL, kunci API lain yang digunakan untuk berinteraksi dengan layanan lainnya, gambar pengguna, konten statis dari situs instagram.com, atau sebagai peneliti fasih meletakkannya: "SEMUANYA" (selfies termasuk) .
Instagram backend hack, short review
Tapi di sini adalah di mana petualangannya berakhir, karena mempertimbangkan dirinya untuk menjadi benar hat hacker putih, dan juga karena keterbatasan program bug karunia Facebook, ia harus berhenti sebelum melakukan kerusakan nyata ke layanan.
Dia mengungkapkan temuannya kepada staf keamanan Facebook, tapi percakapan tidak berjalan seperti yang diharapkan, dan bukannya menerima pahala dari Facebook untuk kerja kerasnya, Mr. Wineberg diabaikan dan menegur oleh karyawan perusahaan.
Dia mengungkapkan temuannya kepada staf keamanan Facebook, tapi percakapan tidak berjalan seperti yang diharapkan, dan bukannya menerima pahala dari Facebook untuk kerja kerasnya, Mr. Wineberg diabaikan dan menegur oleh karyawan perusahaan.
EmoticonEmoticon