Cuidado! O serviço de compartilhamento de fotos do Facebook recentemente corrigiu uma vulnerabilidade crítica que poderia permitir que hackers comprometessem qualquer conta do Instagram sem exigir qualquer interação dos usuários-alvo.
O Instagram está crescendo rapidamente - e com a rede de mídia social mais popular do mundo depois do Facebook, a rede de compartilhamento de fotos domina completamente quando se trata do engajamento e das interações dos usuários.
Apesar de ter mecanismos avançados de segurança, plataformas maiores como Facebook, Google, LinkedIn e Instagram não são completamente imunes a hackers e contêm vulnerabilidades severas. Algumas vulnerabilidades foram corrigidas recentemente
, alguns ainda estão sob o processo de serem corrigidos, e muitos outros provavelmente existem, mas ainda não foram encontrados.
Detalhes de uma dessas vulnerabilidades críticas no Instagram surgiram hoje na Internet que poderiam ter permitido que um invasor remoto redefinisse a senha de qualquer conta do Instagram e assumisse o controle total sobre ela.
Descoberto e responsabilizado pelo caçador de insetos indiano Laxman Muthiyah , a vulnerabilidade residia no mecanismo de recuperação de senha implementado pela versão móvel do Instagram.
A "redefinição de senha" ou "recuperação de senha" é um recurso que permite aos usuários recuperar o acesso à sua conta em um site, caso eles tenham esquecido sua senha.
O Instagram está crescendo rapidamente - e com a rede de mídia social mais popular do mundo depois do Facebook, a rede de compartilhamento de fotos domina completamente quando se trata do engajamento e das interações dos usuários.
Apesar de ter mecanismos avançados de segurança, plataformas maiores como Facebook, Google, LinkedIn e Instagram não são completamente imunes a hackers e contêm vulnerabilidades severas. Algumas vulnerabilidades foram corrigidas recentemente
, alguns ainda estão sob o processo de serem corrigidos, e muitos outros provavelmente existem, mas ainda não foram encontrados.
Detalhes de uma dessas vulnerabilidades críticas no Instagram surgiram hoje na Internet que poderiam ter permitido que um invasor remoto redefinisse a senha de qualquer conta do Instagram e assumisse o controle total sobre ela.
Descoberto e responsabilizado pelo caçador de insetos indiano Laxman Muthiyah , a vulnerabilidade residia no mecanismo de recuperação de senha implementado pela versão móvel do Instagram.
A "redefinição de senha" ou "recuperação de senha" é um recurso que permite aos usuários recuperar o acesso à sua conta em um site, caso eles tenham esquecido sua senha.
No Instagram, os usuários precisam confirmar uma senha secreta de seis dígitos (que expira após 10 minutos) enviada ao número de celular associado ou à conta de e-mail para comprovar sua identidade.
Isso significa que um em um milhão de combinações pode desbloquear qualquer conta do Instagram usando o ataque de força bruta, mas não é tão simples quanto parece, porque o Instagram tem limitação de taxa para impedir tais ataques.
Isso significa que um em um milhão de combinações pode desbloquear qualquer conta do Instagram usando o ataque de força bruta, mas não é tão simples quanto parece, porque o Instagram tem limitação de taxa para impedir tais ataques.
No entanto, Laxman descobriu que essa limitação de taxa pode ser ignorada enviando solicitações de força bruta de diferentes endereços IP e aproveitando a condição de corrida, enviando solicitações simultâneas para processar várias tentativas simultaneamente.
"Risco de corrida (solicitações simultâneas) e rotação de IP permitiram que eu o ignorasse. Caso contrário, não seria possível. O tempo de expiração de 10 minutos é a chave para o mecanismo de limitação de taxa, por isso não impuseram bloqueio permanente de códigos.
Como mostrado na demonstração em vídeo acima, Laxman demonstrou com sucesso a vulnerabilidade de sequestrar uma conta do Instagram tentando rapidamente 200.000 combinações diferentes de código (20% de todas) sem ser bloqueado.
"Em um cenário de ataque real, o invasor precisa de 5000 IPs para hackear uma conta. Parece grande, mas é fácil usar um provedor de serviços em nuvem como Amazon ou Google. Custaria cerca de 150 dólares para executar o ataque completo de um milhões de códigos. "
Laxman também lançou um exploit de prova de conceito para a vulnerabilidade, que agora foi corrigido pelo Instagram, e a empresa premiou Laxman com uma recompensa de US $ 30.000 como parte de seu programa de recompensas de bugs .
Para proteger suas contas contra vários tipos de ataques on-line, bem como reduzir suas chances de comprometimento onde os invasores visam diretamente a aplicativos vulneráveis, é altamente recomendado que os usuários ativem a " autenticação de dois fatores ", o que impediria que hackers acessassem suas contas mesmo eles de alguma forma conseguem roubar suas senhas.
