O Instagram corrigiu uma falha crítica em seu aplicativo: ela permitia que cibercriminosos invadissem contas na rede social sem qualquer tipo de erro ou interação com a vítima. Segundo o pesquisador de segurança indiano Laxman Muthiayh, era possível resetar a senha de uma conta facilmente ao realizar um trabalho de menos de 10 minutos.
A falha, diz o pesquisador, residia no mecanismo de recuperação de senha na versão mobile do Instagram. O recurso exige uma combinação de seis dígitos que expiram após 10 minutos e são enviados via SMS para um usuário provar sua identidade; isso significa que esse recurso pode ser explorado via ataque de força bruta, fazendo milhões de combinações para encontrar o número certo. O Instagram, obviamente, possui um tipo de segurança para prevenir esses ataques, mas ela não era o suficiente.
Quer diminuir as chances de algo assim acontecer com você? Ative a verificação em dois passos
“Solicitações simultâneas e rotação de IP permitiram que eu burlasse a medida anti brute-force do Instagram. Caso contrário, não seria possível. 10 minutos de tempo de expiração é a chave para o mecanismo de limitação de taxa, por isso não impuseram o bloqueio permanente de códigos”, disse o pesquisador ao The Hacker News.
Como prova, Laxman gravou um vídeo no qual rouba uma conta de Instagram ao inserir cerca de 200 mil combinações de senhas e não ser bloqueado pela ferramenta de segurança do aplicativo. “Em um cenário de ataque real, o atacante precisa de 5 mil IPs para hackear uma conta. Parece grande, mas isso é realmente fácil se você usar um provedor de serviços de nuvem como Amazon ou Google. Custaria cerca de 150 dólares para realizar o ataque completo de um milhão de códigos”, afirma.
Laxman ganhou US$ 30 mil como recompensa por ter descoberto a falha e ter reportado ao Instagram. Quer diminuir as chances de algo assim acontecer com você? Ative a verificação em dois passos (autenticação em dois fatores) em todos os aplicativos e serviços possíveis.
Fontes
Categorias
