Falha no Instagram permitia qualquer conta ser hackeada em 10 minutos

Brecha que permitia resetar a senha já foi corrigida pela empresa

Vídeo mostra como fazer:

Instagram corrigiu uma falha crítica que permitia aos hackers invadir qualquer conta da rede social. A vulnerabilidade não exigia nenhuma interação da vítima, mas permitia redefinir a senha de uma conta e assumir seu controle em apenas 10 minutos.

O problema foi detectado pelo pesquisador de segurança indiano Laxman Muthiayh, que notou uma falha no mecanismo de recuperação de senha da versão móvel do Instagram. O recurso é usado por usuários que esquecem a senha da plataforma.

Como funcionava a vulnerabilidade?

O processo de recuperação exige que o usuário confirme uma senha de seis dígitos enviada para o número de telefone ou e-mail associado à conta do Instagram. A senha, que visa comprovar a identidade do dono do perfil, expira em 10 minutos e existe uma limitação para impedir ataques de força bruta.

No entanto, o pesquisador descobriu que basta enviar solicitações de força bruta de diferentes endereços IP e solicitações simultâneas para processar várias tentativas ao mesmo tempo.

“10 minutos de tempo de expiração é a chave para o mecanismo de limitação de taxa, por isso não impuseram o bloqueio permanente de códigos”, disse o pesquisador ao site The Hacker News.

Laxman demonstrou com sucesso a vulnerabilidade de sequestrar uma conta do Instagram tentando 200.000 combinações diferentes de código sem ser bloqueado.

“Em um cenário de ataque real, o invasor precisa de 5.000 IPs para hackear uma conta. Parece muito, mas é fácil usar um provedor de serviços em nuvem como Amazon ou Google. Custaria cerca de US$ 150 para executar o ataque completo de um milhões de códigos”, explicou.

Apesar da falha já ter sido corrigida, a melhor dica para proteger sua conta do Instagram – e também de outros serviços –  é acionar a autenticação de dois fatores.

Fonte: pcworld.com.br