O pesquisador de segurança Laxman Muthiyah relevou uma vulnerabilidade grave no processo de recuperação de conta do Instagram. A falha segue o tradicional método de força bruta, que envolve muitas tentativas e muitos erros, que seria impossível de ser feito manualmente, mas totalmente possível por alguém que tivesse bons conhecimentos de programação.
Os códigos de verificação (enviados por e-mail ou SMS) de 6 dígitos para o seu número possuem algumas restrições no processo de recuperação de conta. Só é possível tentar usar até 250 códigos diferentes por IP, e cada um dele é válido por 10 minutos. Somado ao fato de que há 1 milhão de combinações diferentes, é seguro dizer que não é possível fazer isso à mão.
Entretanto, Muthiyah automatizou um ataque contra o sistema do Instagram por meio de uma API do aplicativo. Utilizando uma vulnerabilidade, o pesquisador conseguiu inserir simultaneamente um grande número de combinações em uma lista rotativa de IPs. Com múltiplos IPs, é possível ir muito além das 250 tentativas.
O pesquisador demonstrou como foi possível enviar 200 mil combinações (20% do 1 milhão de possibilidades) por meio do software. De acordo com ele, em um ataque real, o invasor precisaria de pelo menos 5 mil IPs para hacker uma conta, o que não é nada impossível quando se utiliza serviços de computação em nuvem, como AWS, Azure ou Google Cloud.
A partir dessa API, Muthiyah afirma que custaria apenas cerca de US$ 150 (cercade R$ 560), para executar o ataque completo, com 1 milhão de combinações.
O Instagram, felizmente, já corrigiu a vulnerabilidade, após ser alertado pelo hacker. Como recompensa, a empresa pagou US$ 30 mil pelo aviso. A solução agora envolve o bloqueio de múltiplas tentativas mesmo quando elas partem de IPs diferentes.
Via: PCMag