Los hackers podrían haber entrado en cualquier cuenta de Instagram a través de una falla en el sistema de restablecimiento de contraseña
La mayoría de los usuarios de Facebook probablemente no tienen idea de quién es Laxman Muthiyah, lo cual es una pena porque no tienen idea de cuánto ha hecho para proteger su privacidad. Laxman Muthiyah es un desarrollador web e investigador de seguridad de la India que ha descubierto bastantes vulnerabilidades graves en la red social más grande del mundo. En febrero de 2015, por ejemplo, descubrió que con la ayuda de un token de acceso fácilmente obtenible y el número de identificación de un álbum de Facebook, podía eliminar sus fotos sin su consentimiento. Aproximadamente un mes después, descubrió otra falla en las aplicaciones móviles de Facebook, lo que permitió a cualquiera mirar imágenes privadas en su teléfono.
Muthiyah ha descubierto algunos otros errores de Facebook, y recientemente decidió echar un vistazo a cómo están funcionando las otras plataformas populares de Mark Zuckerberg. Instagram fue el primero en la lista, y efectivamente, después de hurgar en su mecanismo de restablecimiento de contraseña, Muthiyah encontró un error que habría permitido a los hackers motivados hacerse cargo de cualquier cuenta de Instagram que quisieran.
Table of Contents
Los diferentes mecanismos de restablecimiento de contraseña de Instagram
Las contraseñas de Instagram se pueden restablecer tanto a través del navegador como a través de la aplicación móvil de la red social. En el navegador, el mecanismo es antiguo y simple: hace clic en "¿Olvidó su contraseña?" ingrese el nombre de usuario de su cuenta y se enviará un enlace para restablecer la contraseña a su correo electrónico. Mientras tenga acceso a su dirección de correo electrónico, debería estar bien.
En dispositivos móviles, las cosas son un poco diferentes. Después de iniciar el procedimiento de restablecimiento de contraseña, Instagram envía un mensaje de texto con un código de acceso de seis dígitos al número de teléfono asociado con su cuenta. Usted proporciona el código de acceso y la aplicación le permite asignar una nueva contraseña.
El código de acceso en el SMS caduca después de diez minutos, y hay un límite de velocidad sobre cuántos códigos incorrectos puede ingresar desde la misma IP en un corto período de tiempo. El sistema fue diseñado de esa manera para garantizar que un cibercriminal no pueda usar la fuerza bruta para tratar de adivinar el código de seis dígitos. Eso es lo que pensaban las personas que lo habían puesto en su lugar, de todos modos.
La protección de fuerza bruta irregular de Instagram
Laxman Muthiyah sospechaba que podría haber una forma de evitar la protección de la fuerza bruta de Instagram, y para confirmar si este era realmente el caso, necesitaba hacer algún reconocimiento. Creó una cuenta falsa, inició un procedimiento de restablecimiento de contraseña y escribió un script que probó automáticamente 1,000 códigos aleatorios diferentes de seis dígitos en rápida sucesión. 750 de ellos fueron denegados, lo que le dio a Muthiyah el límite de la tarifa: 250 solicitudes por dirección IP. Sin embargo, se dio cuenta de que podía enviar otras 1,000 solicitudes desde la misma dirección.. El límite de la tasa invalidaría una vez más tres cuartos de ellos, pero el IP no estaría en la lista negra.
Después de un poco más de rascarse la cabeza, descubrió que si tenía control sobre una gran cantidad de IP y si podía desencadenar algo conocido como condición de carrera (comportamiento indeseable de un sistema informático después de que se le solicite realizar varias tareas simultáneamente), podría pruebe muchas combinaciones diferentes de seis dígitos en un período de tiempo relativamente corto sin alcanzar el límite de velocidad.
Para demostrar su punto de vista, utilizó 1,000 IP diferentes para enviar un poco menos de 200,000 solicitudes, y su video de prueba de concepto muestra que todas menos 770 de ellas fueron aprobadas. Un código de acceso de seis dígitos tiene un total de 1 millón de combinaciones posibles, lo que significa que si los atacantes pueden enviar solicitudes desde 5.000 IP, pueden garantizar el éxito de la fuerza bruta del código tan importante.
$ 150 por hacerse cargo de una sola cuenta de Instagram. ¿Vale la pena?
5.000 IP pueden parecer mucho, pero Muthiyah calculó que gracias a los modernos servicios en la nube de Amazon y Google, alquilar una cantidad similar de direcciones costaría alrededor de $ 150. ¿Los delincuentes van a estar interesados en pagar $ 150 para secuestrar una cuenta de una persona que comparte sus selfies con amigos y familiares? No parece probable. Sin embargo, si el objetivo es uno de los llamados influenciadores de Instagram, la historia es diferente.
Estamos hablando de usuarios con cientos de miles o incluso millones de seguidores que están listos para hacer clic en cada enlace que ven. El potencial para causar estragos es más o menos ilimitado, por lo que cuando Muthiyah se enteró de la falla, se puso en contacto con Instagram de inmediato, y hay que decir que la respuesta de la red para compartir fotos dejó poco que desear.
La vulnerabilidad fue reparada rápidamente, y Laxman Muthiyah recibió una recompensa de $ 30,000 por encontrar y transmitir la información importante. Esta es la última de una larga lista de recompensas que Muthiyah ha recibido por su trabajo. Los usuarios deberían estar agradecidos por sus esfuerzos y esperar que continúe un paso por delante de los cibercriminales para encontrar los errores.
