Home Sociedad Un defecto podría haber permitido a ciberdelincuentes, hacerse cargo de cualquier cuenta...

Un defecto podría haber permitido a ciberdelincuentes, hacerse cargo de cualquier cuenta Instagram en pocos minutos

Instagram ha abordado, recientemente, un fallo crítico que podría haber permitido a los piratas informáticos, acceder a cualquier cuenta de Instagram, en solo 10 minutos, y sin interacción alguna, por parte del usuario.

El inconveniente fue reportado al servicio de intercambio de fotos propiedad de Facebook, por el experto en seguridad indio Laxman Muthiyah.

Según Muthiyah, el fallo afecta al mecanismo de “restablecimiento de contraseña” implementado por Instagram para la versión móvil del servicio. Cuando los usuarios de Instagram solicitan recuperar sus contraseñas, deben confirmar una contraseña secreta de seis dígitos (que expira después de 10 minutos) que se envía a su número de móvil o cuenta de correo electrónico asociado. Esto significa que para cambiar las contraseñas en el caso de trabajo los atacantes necesitan probar un millón de combinaciones posibles.

El experto centró su prueba en el número máximo de solicitudes permitidas y descubrió la ausencia de listas negras. Fue capaz de enviar solicitudes continuamente sin ser bloqueado, incluso cuando alcanzó el número máximo de solicitudes que puede enviar en una fracción de tiempo.

“Cuando un usuario introduce su número de móvil, se le enviará una contraseña de seis dígitos a su número de móvil. Tienen que introducirlo para cambiar su contraseña. Por lo tanto, si somos capaces de probar todos los códigos de un millón en el punto final de código de verificación, seremos capaces de cambiar la contraseña de cualquier cuenta”, dice el análisis del experto. “Pero estaba bastante seguro de que debe haber algún tipo de limitación contra tales ataques de fuerza bruta. Decidí probarlo.” “Dos cosas que me impresionaron fueron el número de solicitudes y la ausencia de listas negras.”

Finalmente, descubrió dos cosas que le permitieron eludir su mecanismo de limitación de velocidad, una condición de carrera y la rotación de IP.

“El envío de solicitudes concurrentes usando múltiples IPs me permitió enviar un gran número de solicitudes sin tener que limitarme”, explicó el experto. “El número de solicitudes que podemos enviar depende de la concurrencia de solicitudes y del número de IPs que usamos. Además, me di cuenta de que el código expira en 10 minutos, lo que hace que el ataque sea aún más difícil, por lo que necesitamos miles de IPs para realizar el ataque. “

Resumiendo, el límite de velocidad puede ser evitado llevando a cabo un ataque de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera, enviando peticiones simultáneas.

Muttiyah, también publicó un video PoC del ataque que muestra la explotación del defecto, mientras hackeaba una cuenta Instagram usando 200.000 combinaciones de códigos de acceso diferentes, sin ser bloqueado.

Con información de: Computer Hoy.