¡Cuidado! El servicio para compartir fotos, propiedad de Facebook, ha corregido recientemente una vulnerabilidad crítica que podría haber permitido a los piratas informáticos comprometer cualquier cuenta de Instagram sin requerir la interacción de los usuarios seleccionados.
Instagram está creciendo rápidamente, y con la red de redes sociales más popular del mundo después de Facebook, la red para compartir fotos domina absolutamente cuando se trata de la interacción y la interacción del usuario.
A pesar de contar con mecanismos de seguridad avanzados, las plataformas más grandes como Facebook, Google, LinkedIn e Instagram no son completamente inmunes a los hackers y contienen vulnerabilidades graves.
Algunas vulnerabilidades han sido parcheadas recientemente , algunas todavía están en proceso de ser reparadas , y muchas otras probablemente existen, pero aún no se han encontrado.
Los detalles de una de estas vulnerabilidades críticas en Instagram surgieron hoy en Internet que podrían haber permitido a un atacante remoto restablecer la contraseña de cualquier cuenta de Instagram y tomar el control completo sobre ella.
Descubierta y reportada responsablemente por el cazador de recompensas de bichos indio Laxman Muthiyah , la vulnerabilidad residía en el mecanismo de recuperación de contraseña implementado por la versión móvil de Instagram.
El «restablecimiento de contraseña» o «recuperación de contraseña» es una función que permite a los usuarios recuperar el acceso a su cuenta en un sitio web en caso de que hayan olvidado su contraseña.
En Instagram, los usuarios deben confirmar un código de acceso secreto de seis dígitos (que vence después de 10 minutos) enviado a su número de teléfono móvil o cuenta de correo electrónico asociado para probar su identidad.
Eso significa que una de cada millón de combinaciones puede desbloquear cualquier cuenta de Instagram usando el ataque de fuerza bruta, pero no es tan simple como parece, porque Instagram tiene habilitada la limitación de velocidad para prevenir tales ataques.
Sin embargo, Laxman descubrió que esta limitación de velocidad se puede omitir enviando solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera, enviando solicitudes simultáneas para procesar múltiples intentos simultáneamente.
«El riesgo de carrera (solicitudes concurrentes) y la rotación de IP me permitieron evitarlo. De lo contrario, no sería posible. El tiempo de vencimiento de 10 minutos es la clave de su mecanismo de limitación de velocidad, por eso no impusieron el bloqueo permanente de códigos, «Laxman le dijo a The Hacker News.
Como se muestra en la demostración de video anterior, Laxman demostró con éxito la vulnerabilidad de secuestrar una cuenta de Instagram al intentar rápidamente 200,000 combinaciones diferentes de códigos de acceso (20% de todos) sin ser bloqueado.
«En un escenario de ataque real, el atacante necesita 5000 IP para hackear una cuenta. Suena grande, pero en realidad es fácil si usa un proveedor de servicios en la nube como Amazon o Google. Costaría alrededor de 150 dólares realizar el ataque completo de uno. millones de códigos «.
Laxman también lanzó un exploit de prueba de concepto para la vulnerabilidad, que ahora ha sido parcheado por Instagram, y la compañía otorgó a Laxman una recompensa de $ 30,000 como parte de su programa de recompensas por errores .
Para proteger sus cuentas contra varios tipos de ataques en línea, así como para reducir sus posibilidades de verse comprometido donde los atacantes se dirigen directamente a las aplicaciones vulnerables, se recomienda a los usuarios que habiliten la » autenticación de dos factores «, lo que podría impedir que los piratas informáticos accedan a sus cuentas, incluso si de alguna manera se las arreglan para robar sus contraseñas.
Fuente: thehackernews.com
