Vulnerabilidade no Instagram permite o roubo contas

A falha que já foi, entretanto, corrigida, explorava um erro no mecanismo de recuperação de passwords na versão móvel, que permitia a um hacker sequestrar contas sem necessidade de interação por parte da vítima

O investigador de segurança Laxman Muthiyah reportou ao Facebook a descoberta de uma vulnerabilidade no Instagram que permitia a um hacker sequestrar remotamente qualquer conta sem necessidade de interação por parte do proprietário da mesma.

Segundo explicou Laxman, depois que o Facebook aumentou o valor das recompensas que paga como parte do seu programa de bug bounty, tanto para a descoberta de vulnerabilidades críticas como de sequestro de contas, decidiu investigar alguma falha que pudesse reportar. E foi assim que encontrou esta vulnerabilidade que resultou numa recompensa de 30 mil dólares.

A falha encontrada estava no mecanismo de recuperação de passwords da versão móvel do Instagram, o qual permite aos utilizadores recuperar o acesso às suas contas caso não se recordem da sua chave de acesso. Neste sentido, um utilizador de Instagram que se esqueça da sua password e decida redefinir a mesma deverá demonstrar a sua identidade confirmando a receção de um código de seis dígitos que lhe chegará através de SMS para o número de telefone associado. Este código, que expira passados 10 minutos, deverá ser introduzido pelo utilizador para poder alterar a password.

Foi assim que o investigador tentou a opção de realizar um ataque de force brute e inserir uma série de combinações possíveis. Apesar do sistema permitir um número máximo de tentativas, este limite de tempo pode ser evitado através de solicitações de force brute a partir de diferentes endereços IP, aproveitando-se também do que se conhece como race condition. Desta forma, o envio de um grande número de pedido de combinações utilizando múltiplos IP permitiram a Laxman enviar uma grande quantidade de combinações sem ter problemas de limites.

O investigador demonstrou a existência da vulnerabilidade através de um vídeo no qual demonstra que conseguiu sequestrar uma conta de Instagram ao enviar 200 mil combinações de códigos diferentes e utilizando uma grande quantidade de IP diferentes.

Segundo explicou o investigador, num cenário de ataque real um ator mal-intencionado necessitaria de 5.000 IPs para sequestrar uma conta, algo que se pode obter mediante um fornecedor de serviços na cloud, como seja a Amazon ou a Google, o que exigiria um investimento de aproximadamente 150 dólares. Desta forma é possível realizar o ataque completo testando com uma combinação de 1 milhão de códigos.

A vulnerabilidade, que já foi corrigida, serve de exemplo para demonstrar que mesmo as grandes plataformas e serviços são vulneráveis a possíveis ataques e/ou falhas de segurança, pelo que é importante que não deixemos a segurança ao acaso ou nas mãos dos fornecedores dos serviços que utilizamos. É importante que como utilizadores façamos a nossa parte no sentido de reforçar a segurança, seja mediante o uso do duplo fator de autenticação, utilizando passwords únicas por serviço ou mediante outras ações.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

three × four =