O pesquisador de segurança Laxman Muthiyah descobriu, nesta semana, um grave erro no processo de recuperação de conta do Instagram que poderia ter sido usado para invadir a conta de praticamente qualquer usuário da rede social. Apesar de seguir o método de tentativa e erro, a vulnerabilidade poderia ser explorada por alguém que conhecesse bem de programação.
Antes de entender como o hacker conseguiu aproveitar da brecha no sistema do Instagram, vale notar que a plataforma possui algumas restrições com relação aos códigos de verificação (aqueles enviados por email ou mensagem de texto para o seu número) no processo de recuperação de uma conta. Entre eles, é possível tentar usar até 250 códigos diferentes por IP1Internet Protocol., sendo que cada código é válido por apenas 10 minutos.
Como um código possui seis dígitos, isso significa que existem 1 milhão de combinações diferentes possíveis, o que é praticamente impossível de se fazer à mão. No entanto, Muthiyah descobriu que ele poderia automatizar um ataque contra o sistema do Instagram por meio de uma API2Application programming interface, ou interface de programação de aplicativos. a qual insere simultaneamente um grande número de combinações em uma lista rotativa de IPs.
No vídeo abaixo, gravado pelo pesquisador, ele demonstra como foi possível enviar 200 mil combinações (ou seja, 20% de 1 milhão) por meio do software desenvolvido por ele. Segundo Muthiyah, em um cenário de ataque real, o invasor precisaria de pelo menos 5 mil IPs para hacker uma conta — o que é ainda mais fácil a partir de provedores online, oferecidos por empresas como a Amazon e o Google.
A partir desse método, Muthiyah afirma que custaria apenas cerca de US$150 (~R$560) para executar o ataque completo, com 1 milhão de combinações. Se você ficou preocupado, saiba que a boa notícia é que o Facebook (empresa-mãe do Instagram) corrigiu o erro após o hacker informá-lo sobre a brecha.
Assim, agora o aplicativo bloqueia o número de combinações possíveis de serem enviadas mesmo a partir de IPs diferentes, o que inviabiliza tentar acertar a combinação dentro da janela de 10 minutos.
Em um email enviado à PCMag, o Instagram disse que premiou Muthiyah com US$30.000 (~R$112.500) por encontrar a vulnerabilidade e ressaltou que o Facebook possui um programa de recompensa por falhas aberto para todas as pessoas que descobrirem possíveis erros nas suas plataformas.
Notas de rodapé
- 1Internet Protocol.
- 2Application programming interface, ou interface de programação de aplicativos.