链接：https://infosecwriteups.com/how-i-couldve-bypassed-the-2fa-security-of-instagram-once-again-43c05cc9b755

这次，作者在重置密码想想办法

1. 我测试了一个 Instagram 账户，并通过 Instagram 网站为账户启用了2fa 安全功能。
2. 然后，考虑到攻击者破坏了受害者的电子邮件帐户，攻击者登录到受害者的电子邮件帐户在各自的电子邮件应用程序。
3. 之后，攻击者只需进入 Instagram > 忘记密码，输入受害者的 Instagram 帐户用户名，并在他/她的电子邮件中要求一个登录链接。
4. 最后，攻击者从受害者的电子邮件账户中收到 Instagram 发来的“我们已经让返回 Instagram 变得很容易了”的电子邮件，点击易受攻击的“重设密码”按钮，然后被重定向到 Instagram 应用程序的密码重置界面，重设密码，并重设密码

恭喜你! 你在没有2fa 验证/2FA 检查的情况下进入了一个 Instagram 账户。

其实就是当前账户开启了2FA，但是找回密码的过程中并没有验证这个，直接通过邮箱就可以找回来。

然后拿到了3150刀