Là một lỗ hổng liên quan đến việc reset password. Cụ thể là hacker sẽ brute force 6 số của OTP để đổi mật khẩu của người dùng.
Trong trường hợp của Instagram thì sẽ có rate limiting, cho phép tối đa 250 lần thử.
Tuy nhiên, Instagram lại không giới hạn số lượng IP. Tức là nếu dùng 4000 IP khác nhau thử 250 lần thì sẽ có lần thử, đủ để phá OTP.
