O melhor pedaço da Maçã.
MM News

Receba os nossos principais artigos diariamente, por email.

App do Instagram no iPhone

Brecha no Instagram possibilitava que qualquer conta fosse invadida

Hacker que descobriu a vulnerabilidade recebeu US$30 mil como recompensa

O pesquisador de segurança Laxman Muthiyah descobriu, nesta semana, um grave erro no processo de recuperação de conta do Instagram que poderia ter sido usado para invadir a conta de praticamente qualquer usuário da rede social. Apesar de seguir o método de tentativa e erro, a vulnerabilidade poderia ser explorada por alguém que conhecesse bem de programação.

Publicidade

Antes de entender como o hacker conseguiu aproveitar da brecha no sistema do Instagram, vale notar que a plataforma possui algumas restrições com relação aos códigos de verificação (aqueles enviados por email ou mensagem de texto para o seu número) no processo de recuperação de uma conta. Entre eles, é possível tentar usar até 250 códigos diferentes por IP1, sendo que cada código é válido por apenas 10 minutos.

Como um código possui seis dígitos, isso significa que existem 1 milhão de combinações diferentes possíveis, o que é praticamente impossível de se fazer à mão. No entanto, Muthiyah descobriu que ele poderia automatizar um ataque contra o sistema do Instagram por meio de uma API2 a qual insere simultaneamente um grande número de combinações em uma lista rotativa de IPs.

No vídeo abaixo, gravado pelo pesquisador, ele demonstra como foi possível enviar 200 mil combinações (ou seja, 20% de 1 milhão) por meio do software desenvolvido por ele. Segundo Muthiyah, em um cenário de ataque real, o invasor precisaria de pelo menos 5 mil IPs para hacker uma conta — o que é ainda mais fácil a partir de provedores online, oferecidos por empresas como a Amazon e o Google.

A partir desse método, Muthiyah afirma que custaria apenas cerca de US$150 (~R$560) para executar o ataque completo, com 1 milhão de combinações. Se você ficou preocupado, saiba que a boa notícia é que o Facebook (empresa-mãe do Instagram) corrigiu o erro após o hacker informá-lo sobre a brecha.

Assim, agora o aplicativo bloqueia o número de combinações possíveis de serem enviadas mesmo a partir de IPs diferentes, o que inviabiliza tentar acertar a combinação dentro da janela de 10 minutos.

Em um email enviado à PCMag, o Instagram disse que premiou Muthiyah com US$30.000 (~R$112.500) por encontrar a vulnerabilidade e ressaltou que o Facebook possui um programa de recompensa por falhas aberto para todas as pessoas que descobrirem possíveis erros nas suas plataformas.


Ícone do app Instagram
Instagram de Instagram, Inc.
Compatível com iPhones
Versão 197.0 (170.7 MB)
Requer o iOS 12.0 ou superior
GrátisBadge - Baixar na App Store Código QR Código QR

Ver comentários do post

Carregando os comentários…
Artigo Anterior
Google AdSense

Google anuncia fim do app AdSense para iOS e Android

Próximo Artigo
Vulnerabilidade da versão beta do iOS 13

Vulnerabilidade na versão beta do iOS 13 deixa senhas expostas

Posts Relacionados