Um analista de segurança descobriu uma vulnerabilidade em Processo de recuperação de conta do Instagram que deu a ele acesso a uma conta de teste.
ΈUm analista de segurança encontrou um bug no processo de recuperação de uma conta do Instagram que pode ter colocado muitas contas em risco.
O analista Laxman Muthiyah descobriu o erro enquanto investigava como o aplicativo permite que você recupere o acesso à sua conta depois de ter esquecido a senha. Para autenticação, o Instagram envia um número aleatório de seis dígitos via SMS para o telefone do usuário, que dá acesso à conta.
O pesquisador questionou se alguém poderia usar a técnica "força bruta”Para contornar o sistema. Nesse método, milhares de combinações aleatórias são inseridas até que a correta seja encontrada. Neste caso, o truque funcionou, mas existem circunstâncias específicas que tornam todo o processo bastante complicado.
Mais especificamente, o Instagram tem restrições para inserir esses códigos. Portanto, você tem um limite de 250 tentativas por endereço IP a serem feitas no período de dez minutos.
Para adivinhar um código de seis dígitos, você deve tentar cerca de um milhão de combinações diferentes. Esse número é suficiente para manter o sistema protegido de um simples usuário. No entanto, Mutiyah encontrou uma maneira de automatizar o processo. Escrever um programa foi capaz de importar grandes volumes de combinações aleatórias de uma lista de diferentes endereços IP.
Muthiyah carregou um vídeo do ataque mostrando-o enviando 200.000 combinações diferentes tentando quebrar uma conta de teste. "Em um ataque real, o invasor precisará de cerca de 5.000 IPs para quebrar a conta. Pode parecer um grande número, mas na realidade não é difícil. Se você usar um serviço em nuvem da Amazon ou do Google, custará cerca de US $ 150 para fazer um ataque completo de um milhão de senhas. " Ele disse em um relacionado Blog.
A boa notícia é que o Instagram corrigiu o problema. Mythiyah disse ao PCMag que o aplicativo agora bloqueia o número de senhas que um usuário pode inserir, independentemente de seu endereço IP.
Em um e-mail, o Instagram disse ao PCMag: "Corrigimos o problema e não encontramos nenhum exploit. Agradecemos ao analista que ajudou a identificar o problema. " O Facebook, dono do Instagram, tem um programa que recompensa a localização de bugs por meio do Bugcrowd, que doou US $ 30.000 a Muthiyah por sua descoberta.
[id do_grupo_ad = ”966 ″]