Hot!

UNA FALLA EN INSTAGRAM PERMITÍA ACCEDER A CUALQUIER CUENTA EN SÓLO 10 MINUTOS


Instagram ha solucionado una vulnerabilidad crítica que, hasta la fecha, permitía a cualquier usuario acceder y tomar control sobre la cuenta de cualquier otro sin necesidad de que hubiera ningún tipo de interacción con el usuario y en menos de 10 minutos.

Al parecer, un fallo en el mecanismo de recuperación de contraseñas de Instagram implementado en la versión móvil, permitía que cualquier persona, en remoto, solicitase una nueva contraseña para cualquier cuenta de Instagram. Al hacerlo, podía tener acceso a la misma y dejar al mismo tiempo a su propietario sin acceso, ya que se había reseteado la clave, según denunció un investigador de software indio llamado Laxman Muthiyah .

Esta funcionalidad, pensada para cuando un usuario ha olvidado su contraseña, obliga al usuario a confirmar un código secreto de seis dígitos que se envía al número de teléfono asociado a su cuenta o a la cuenta de correo electrónico con la que se dio de alta. Es una forma de confirmar su identidad.

El código enviado expira a los 10 minutos, pero cualquier ciberdelincuente podría necesitar menos tiempo para hacerse con el control de la cuenta. Si se probasen millones de combinaciones, sería fácil para cualquier programa informático acertar la combinación de seis dígitos. Sin embargo, para evitar esto, Instagram limita el número de intentos.
Pero eso no era suficiente. Según descubrió Muthiyah, si se envían peticiones desde distintas direcciones IPde forma simultánea, Instagram procesa todas las peticiones. El investigador probó a acceder a cuentas ajenas enviando de esta manera a Instagram 200.000 combinaciones diferentes de contraseñas en 10 minutos.

Al realizar los envíos rotando más de 5.000 direcciones IP distintas, Muthiyah logró no ser bloqueado. Es más, obtuvo acceso a una de cada cinco cuentas que había intentado hacker, dado que había enviado un 20% de combinaciones posibles.

Según el investigador, aunque pueda parecer algo complicado, emplear 5.000 direcciones IP es algo sencillo, que se puede realizar fácilmente si se cuenta con un proveedor de servicios en la nube como Amazon o Google. «Costaría poco más de 150 dólares llevar a cabo el ataque completo de un millón de códigos distintos», señala.
De todas maneras, la vulnerabilidad no se ha comunicado hasta que Instagram no la ha resuelto, por lo que ya no es posible acceder de manera ilícita a las cuentas. Muthiyah informó a la compañía antes de hacer público su descubrimiento y, gracias a eso, Instagram le ha proporcionado un cheque de 30.000 dólares en compensación como parte de su programa de recompensas.
Vía|TreceBits

0 Comment:

Publicar un comentario