Vulnerabilidad en Instagram permitía secuestrar cuentas

Vulnerabilidad en Instagram permitía secuestrar cuentas
El fallo radicaba en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram.

ESET analizó el fallo, ya parcheado, que explotaba un error en el mecanismo de recuperación de contraseñas en la versión móvil y permitía a un atacante secuestrar cuentas sin necesidad de interacción por parte de la víctima.

ESET analizó el hallazgo de una vulnerabilidad en Instagram que hubiese permitido a un atacante secuestrar de manera remota cualquier cuenta sin necesidad de interacción por parte de los propietarios de las mismas. El mismo ya fue reparado por la red social.

El investigador de seguridad Laxman Muthiyah reportó el hallazgo luego de que Facebook aumentara los montos de las recompensas que paga como parte de su programa de bug bounty, tanto para el hallazgo de vulnerabilidades críticas como de secuestro de cuentas. Laxman decidió investigar en busca de algún fallo que pueda reportar y así fue que encontró esta vulnerabilidad que le significó una recompensa de $30.000.

El fallo radicaba en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram. El mismo permite a los usuarios recuperar el acceso a sus cuentas en caso de olvidar su clave. En este sentido, un usuario de Instagram que se olvide de su contraseña y decida resetearla deberá demostrar su identidad confirmando la recepción de un código de seis dígitos que le llegará a través de un mensaje SMS al número telefónico asociado. Este código, que expira pasados los 10 minutos, deberá ser ingresado por el usuario para poder cambiar su contraseña.

Así fue que el investigador realizó un ataque de fuerza bruta e ingresó una gran cantidad de combinaciones posibles. Si bien el sistema permite un número máximo de intentos, este límite de tiempo puede evadirse mediante solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechándose también de lo que se conoce como condición de carrera. De esta manera, el envío de una gran cantidad de solicitudes utilizando múltiples IP permitió a Laxman enviar simultáneamente muchas combinaciones sin tener problemas de límite. Laxman logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos diferentes y utilizando una gran cantidad de IP diferentes.

Te puede interesar  23 millones de cuentas filtradas utilizaban 123456 como contraseña

La vulnerabilidad ya fue parcheada. “Estos casos sirven como ejemplo para demostrar que incluso las grandes plataformas y servicios son vulnerables a posibles ataques y/o fallos de seguridad, por lo que es importante que no dejemos la seguridad librada al azar o en manos de los que proveen los servicios que utilizamos. Es importante que como usuarios hagamos nuestra parte para reforzar la seguridad, ya sea mediante el uso del doble factor de autenticación, utilizando contraseñas únicas por servicio o mediante otras acciones, de manera de disfrutar de Internet de manera segura”, dijo Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


Plazas electrónicas de Argentina, Uruguay y Chile firman acuerdo de interconexión

BEC, BEVSA y MAE se interconectarán para compartir información en tiempo real y, en una segunda etapa, para transar todos...

Cerrar