La vulnerabilidad residía en el mecanismo de recuperación de contraseña
¡Cuidado! El servicio para compartir fotos, propiedad de Facebook, ha corregido recientemente una vulnerabilidad crítica que podría haber permitido a los piratas informáticos comprometer cualquier cuenta de Instagram sin requerir la interacción de los usuarios seleccionados.
Instagram está creciendo rápidamente, y con la red de redes sociales más popular del mundo después de Facebook, la red para compartir fotos domina absolutamente cuando se trata de la influencia y la interacción del usuario.
A pesar de contar con avanzados mecanismos de seguridad, las plataformas más grandes como Facebook, Google, LinkedIn e Instagram no son completamente inmunes a los hackers y contienen graves vulnerabilidades.
Algunas vulnerabilidades han sido parcheadas recientemente, algunas todavía están en proceso de ser reparadas, y muchas otras probablemente existen, pero aún no se han encontrado.
Los detalles de una de estas vulnerabilidades críticas en Instagram surgieron hoy en Internet, y podrían haber permitido a un atacante remoto restablecer la contraseña de cualquier cuenta de Instagram y tomar el control completo sobre ella.
Descubierta y reportada responsablemente por el cazador de recompensas de buggs indio Laxman Muthiyah, la vulnerabilidad residía en el mecanismo de recuperación de contraseña implementado por la versión móvil de Instagram.
El "restablecimiento de contraseña" o "recuperación de contraseña" es una función que permite a los usuarios recuperar el acceso a su cuenta en un sitio web en caso de que hayan olvidado su contraseña.
En Instagram, para probar su identidad los usuarios deben confirmar un código de acceso secreto de seis dígitos (que vence después de 10 minutos) enviado a su número de teléfono móvil o cuenta de correo electrónico asociado.
Eso significa que una de cada millón de combinaciones puede desbloquear cualquier cuenta de Instagram usando un ataque de fuerza bruta, pero no es tan simple como parece, porque Instagram tiene habilitada la limitación de velocidad para prevenir tales ataques.
Sin embargo, Laxman descubrió que esta limitación de velocidad se puede omitir enviando solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera, enviando solicitudes simultáneas para procesar múltiples intentos simultáneamente.
"El riesgo de carrera (solicitudes concurrentes) y la rotación de IP me permitieron evitarlo. De lo contrario, no sería posible. El tiempo de vencimiento de 10 minutos es la clave de su mecanismo de limitación de velocidad, por eso no impusieron el bloqueo permanente de códigos", dijo Laxman.
Como se muestra en la demostración de vídeo anterior, Laxman demostró con éxito la vulnerabilidad de secuestrar una cuenta de Instagram al intentar rápidamente 200.000 combinaciones diferentes de códigos de acceso (20% de todos) sin ser bloqueado.
"En un escenario de ataque real, el atacante necesita 5.000 IPs para hackear una cuenta. Suena grande, pero en realidad es fácil si se usa un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de un millones de códigos".
Laxman también lanzó un exploit de prueba de concepto para la vulnerabilidad, que ahora ha sido parcheado por Instagram, y la compañía otorgó a Laxman una recompensa de $ 30.000 como parte de su programa de recompensas por errores.
Para proteger tus cuentas contra varios tipos de ataques en línea, así como para reducir sus posibilidades de verte comprometido donde los atacantes atacan directamente las aplicaciones vulnerables, se recomienda encarecidamente a los usuarios que habiliten la "autenticación de dos factores", lo que podría impedir que los piratas informáticos accedan a sus cuentas, incluso si de alguna manera logran robar sus contraseñas.
