Instagram consente agli utenti di registrarsi con il loro numero di telefono (verificato da un pin inviato tramite SMS), un nome utente e una password. Se si dimentica la password, è possibile richiedere un collegamento inviato tramite SMS al telefono per reimpostare la password.
Oggi mi ha colpito il fatto che i numeri di telefono possono essere riassegnati a nuove persone se non vengono più utilizzati, quindi considera quanto segue:
Creo un account instagram con il mio numero di telefono. Quindi ottengo un nuovo numero e non mi preoccupo di aggiornare / rimuovere i dettagli. Qualcuno che ha riassegnato il mio vecchio numero richiede una modifica della password, e voilà: hanno accesso al mio account Instagram?
Sembra che lyft abbia effettivamente sperimentato qualcosa del genere: link
Quindi cosa può fare un'azienda che utilizza i numeri di telefono per la verifica per evitare questo (a mio avviso) problema di sicurezza?