¡Cuidado! El servicio para compartir fotos propiedad de Facebook recientemente corrigió una vulnerabilidad crítica que podría haber permitido a los piratas informáticos comprometer cualquier cuenta de Instagram sin requerir ninguna interacción de los usuarios objetivo.
Instagram está creciendo rápidamente, y con la red de medios sociales más popular del mundo después de Facebook, la red para compartir fotos domina absolutamente en lo que respecta a la participación y las interacciones de los usuarios.
A pesar de contar con mecanismos de seguridad avanzados, las plataformas más grandes como Facebook, Google, LinkedIn e Instagram no son completamente inmunes a los piratas informáticos y contienen vulnerabilidades graves.
Algunas vulnerabilidades se han parcheado recientemente, algunas aún están en proceso de reparación y muchas otras probablemente existen, pero aún no se han encontrado.
Los detalles de una de esas vulnerabilidades críticas en Instagram surgieron hoy en Internet y podrían haber permitido a un atacante remoto restablecer la contraseña de cualquier cuenta de Instagram y tomar el control total sobre ella.
Descubierta e informada responsablemente por el cazarrecompensas de errores indio Laxman Muthiyah, la vulnerabilidad residía en el mecanismo de recuperación de contraseña implementado por la versión móvil de Instagram.
El «restablecimiento de contraseña» o «recuperación de contraseña» es una función que permite a los usuarios recuperar el acceso a su cuenta en un sitio web en caso de que hayan olvidado su contraseña.
En Instagram, los usuarios deben confirmar un código de acceso secreto de seis dígitos (que caduca después de 10 minutos) enviado a su número de teléfono móvil asociado o cuenta de correo electrónico para probar su identidad.
Eso significa que una de un millón de combinaciones puede desbloquear cualquier cuenta de Instagram usando un ataque de fuerza bruta, pero no es tan simple como parece, porque Instagram tiene habilitado el límite de velocidad para evitar tales ataques.
Sin embargo, Laxman descubrió que esta limitación de velocidad se puede eludir enviando solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechando la condición de carrera, enviando solicitudes simultáneas para procesar múltiples intentos simultáneamente.
«El riesgo de carrera (solicitudes simultáneas) y la rotación de IP me permitieron eludirlo. De lo contrario, no sería posible. El tiempo de caducidad de 10 minutos es la clave de su mecanismo de limitación de velocidad, es por eso que no aplicaron el bloqueo permanente de códigos, «Laxman le dijo a The Hacker News.
Como se muestra en la demostración de video anterior, Laxman demostró con éxito la vulnerabilidad para secuestrar una cuenta de Instagram al intentar rápidamente 200,000 combinaciones de contraseña diferentes (20% de todas) sin ser bloqueado.
«En un escenario de ataque real, el atacante necesita 5000 IP para hackear una cuenta. Suena grande, pero en realidad es fácil si usa un proveedor de servicios en la nube como Amazon o Google. Cuesta alrededor de 150 dólares realizar el ataque completo de uno millones de códigos».
Laxman también lanzó un exploit de prueba de concepto para la vulnerabilidad, que ahora ha sido parcheado por Instagram, y la compañía otorgó a Laxman una recompensa de $ 30,000 como parte de su programa de recompensas por errores.
Para proteger sus cuentas contra varios tipos de ataques en línea, así como para reducir sus posibilidades de verse comprometidos cuando los atacantes se dirigen directamente a aplicaciones vulnerables, se recomienda encarecidamente a los usuarios que habiliten la «autenticación de dos factores», lo que podría evitar que los piratas informáticos accedan a sus cuentas incluso si de alguna manera logran robar sus contraseñas.
